In den Tabellen in diesem Artikel werden die Aktivitäten beschrieben, die in Microsoft 365 überwacht werden. Sie können nach diesen Aktivitäten suchen, indem Sie das Überwachungsprotokoll im Microsoft Purview-Portal oder Microsoft Purview-Complianceportal durchsuchen.
In diesen Tabellen werden verwandte Aktivitäten oder die Aktivitäten eines bestimmten Diensts gruppiert. Die Tabellen enthalten den Anzeigenamen, der in der Dropdownliste Aktivitäten angezeigt wird (oder die in PowerShell verfügbar sind) und den Namen des entsprechenden Vorgangs, der in den detaillierten Informationen eines Überwachungsdatensatzes und in der CSV-Datei angezeigt wird, wenn Sie die Suchergebnisse exportieren. Beschreibungen der detaillierten Informationen finden Sie unter Detaillierte Eigenschaften des Überwachungsprotokolls.
Tipp
Wählen Sie einen der Links in der Liste In diesem Artikel oben in diesem Artikel aus, um direkt zu einer bestimmten Produkttabelle zu gelangen.
Anwendungsverwaltungsaktivitäten
In der folgenden Tabelle sind Anwendungsadministratoraktivitäten aufgeführt, die protokolliert werden, wenn ein Administrator eine Anwendung hinzufügt oder ändert, die in Microsoft Entra ID registriert ist. Jede Anwendung, die auf Microsoft Entra ID für die Authentifizierung basiert, muss im Verzeichnis registriert werden.
Hinweis
Die Vorgangsnamen, die in der Spalte Vorgang in der folgenden Tabelle aufgeführt sind, enthalten einen Punkt ( . ). Sie müssen den Punkt in den Vorgangsnamen einbinden, wenn Sie den Vorgang in einem PowerShell-Befehl angeben wenn Sie das Überwachungsprotokoll durchsuchen, Aufbewahrungsrichtlinien für die Überwachung, Warnungsrichtlinien oder Aktivitätswarnungen erstellen. Achten Sie auch darauf, den Vorgangsnamen in doppelte Anführungszeichen (" ") zu setzen.
Anzeigename
Vorgang
Beschreibung
Delegierungseintrag hinzugefügt
Delegierungseintrag hinzufügen.
Eine Authentifizierungsberechtigung wurde für eine Anwendung in Microsoft Entra ID erstellt/erteilt.
Dienstprinzipal hinzugefügt
Dienstprinzipal hinzufügen.
Eine Anwendung wurde in Microsoft Entra ID registriert. Eine Anwendung wird durch einen Dienstprinzipal im Verzeichnis dargestellt.
Anmeldeinformationen für einen Dienstprinzipal hinzugefügt
Dienstprinzipal-Anmeldeinformationen hinzufügen.
Anmeldeinformationen wurden einem Dienstprinzipal in Microsoft Entra ID hinzugefügt. Ein Dienstprinzipal stellt eine Anwendung im Verzeichnis dar.
Delegierungseintrag entfernt
Delegierungseintrag entfernen.
Eine Authentifizierungsberechtigung wurde aus einer Anwendung in Microsoft Entra ID entfernt.
Dienstprinzipal aus dem Verzeichnis entfernt
Dienstprinzipal entfernen.
Eine Anwendung wurde aus Microsoft Entra ID gelöscht/die Registrierung aufgehoben. Eine Anwendung wird durch einen Dienstprinzipal im Verzeichnis dargestellt.
Anmeldeinformationen aus einem Dienstprinzipal entfernt
Dienstprinzipal-Anmeldeinformationen entfernen.
Anmeldeinformationen wurden in Microsoft Entra ID aus einem Dienstprinzipal entfernt. Ein Dienstprinzipal stellt eine Anwendung im Verzeichnis dar.
Delegierungseintrag festgelegt
Delegierungseintrag festlegen.
Eine Authentifizierungsberechtigung wurde für eine Anwendung in Microsoft Entra ID aktualisiert.
Briefing-E-Mail-Aktivitäten
In der folgenden Tabelle sind die Aktivitäten in Briefing-E-Mail aufgeführt, die im Microsoft 365-Überwachungsprotokoll protokolliert werden. Weitere Informationen zu Briefing-E-Mail finden Sie unter:
Aktualisierte Datenschutzeinstellungen der Organisation
UpdatedOrganizationBriefingSettings
Administrator aktualisiert die Datenschutzeinstellungen der Organisation für Briefing-E-Mail.
Aktualisierte Datenschutzeinstellungen der Benutzer
UpdatedUserBriefingSettings
Administrator aktualisiert die Datenschutzeinstellungen der Benutzer für Briefing-E-Mail.
Kommunikationscomplianceaktivitäten
In der folgenden Tabelle sind die Kommunikationscomplianceaktivitäten aufgeführt, die im Microsoft 365-Überwachungsprotokoll protokolliert werden. Weitere Informationen finden Sie unter Informationen zu Microsoft Purview-Kommunikationscompliance.
Hinweis
Diese Aktivitäten sind verfügbar, wenn Sie das PowerShell-Cmdlet Search-UnifiedAuditLog verwenden. Diese Aktivitäten sind in der Dropdownliste Aktivitäten nicht verfügbar.
Ein Kommunikationscomplianceadministrator hat ein Richtlinienupdate ausgeführt.
Richtlinienübereinstimmung
SupervisionRuleMatch
Ein Benutzer hat eine Nachricht gesendet, die der Bedingung einer Richtlinie entspricht.
Auf Nachricht(en) angewendeter Tag
SupervisoryReviewTag
Tags werden auf Nachrichten angewendet, oder Nachrichten werden aufgelöst.
Compliance-Manager-Aktivitäten
In der folgenden Tabelle sind die Vorgänge und Aktivitäten aufgeführt, die protokolliert werden, wenn ein Administrator die Einstellungen im Compliance-Manager verwaltet. Weitere Informationen finden Sie unter Informationen zum Compliance-Manager.
Anzeigename
Vorgang
Beschreibung
Rollenänderung
ComplianceManagerRolesChange
Ein Administrator hat die Rollen für Benutzer geändert.
Änderung der Mandantenautomatisierungsebene
ComplianceManagerAutomationLevelChange
Ein Administrator hat die Automatisierungsebene für den Mandanten für alle Aktionen geändert.
Testen der Änderung der Quellautomatisierung
ComplianceManagerAutomationChange
Ein Administrator hat die Einstellungen für die Automatisierung der Testquellen geändert.
Inhaltsexplorer-Aktivitäten
Die folgende Tabelle enthält die Aktivitäten im Inhaltsexplorer, die im Überwachungsprotokoll protokolliert werden. Inhalts-Explorer, auf den über das Datenklassifizierungstool im Microsoft Purview-Portal und im Complianceportal zugegriffen wird. Weitere Informationen finden Sie unter Verwenden des Daten Inhaltsexplorers zur Datenklassifizierung.
Anzeigename
Vorgang
Beschreibung
Element, auf das zugegriffen wird
LabelContentExplorerAccessedItem
Ein Administrator (oder ein Benutzer, der Mitglied der Rollengruppe "Inhaltsexplorer-Content Viewer" ist) verwendet den Inhaltsexplorer, um eine E-Mail-Nachricht oder ein SharePoint/OneDrive-Dokument anzuzeigen.
Copilot-Aktivitäten
In der folgenden Tabelle sind die Aktivitäten aus Microsoft 365 Copilot und Microsoft Copilot aufgeführt, die im Überwachungsprotokoll protokolliert werden. Auf Copilot kann über Microsoft-Dienste zugegriffen werden. Zu den Aktivitäten gehört, wie und wann Benutzer mit Copilot interagieren. Dies umfasst den Microsoft-Dienst, in dem die Aktivität stattgefunden hat, und Verweise auf die Dateien, auf die während der Interaktion zugegriffen wurde. Weitere Informationen zu Copilot-Interaktionsereignissen und ein Schemabeispiel finden Sie unter Übersicht über Copilot-Interaktionsereignisse.
Informationen zum Zugreifen auf den Text aus der Eingabeaufforderung des Benutzers während der Interaktion finden Sie unter Inhaltssuche oder Anzeigen des KI-Interaktionsereignisses im Aktivitäts-Explorer in Data Security Posture Management for AI.
Ein Benutzer (oder Administrator oder System im Namen eines Benutzers) hat ein neues Copilot-Plug-In erstellt.
Ein neues Copilot-Promptbook erstellt
CreateCopilotPromptBook
Ein Benutzer (oder Administrator oder System im Namen eines Benutzers) hat ein neues Promptbook in Copilot erstellt.
Ein Copilot-Plug-In wurde gelöscht.
DeleteCopilotPlugin
Ein Benutzer (oder Administrator oder System im Namen eines Benutzers) hat ein Copilot-Plug-In gelöscht.
Ein Copilot-Promptbook wurde gelöscht.
DeleteCopilotPromptBook
Ein Benutzer (oder Administrator oder System im Namen eines Benutzers) hat ein Copilot-Promptbook gelöscht.
Deaktivieren eines Copilot-Plug-Ins
DisableCopilotPlugin
Ein Benutzer (oder Administrator oder System im Namen eines Benutzers) hat ein Copilot-Plug-In deaktiviert.
Deaktivieren eines Copilot-Eingabeaufforderungsbuchs
DisableCopilotPromptBook
Ein Benutzer (oder Administrator oder System im Namen eines Benutzers) hat ein Copilot-Promptbook deaktiviert.
Aktivieren eines Copilot-Plug-Ins
EnableCopilotPlugin
Ein Benutzer (oder ein Administrator oder System im Namen eines Benutzers) hat ein Copilot-Plug-In aktiviert.
Aktivieren eines Copilot-Eingabeaufforderungsbuchs
EnableCopilotPromptBook
Ein Benutzer (oder Administrator oder System im Namen eines Benutzers) hat ein Copilot-Promptbook aktiviert.
Interagiert mit Copilot
CopilotInteraction
Ein Benutzer (oder Administrator oder System im Namen eines Benutzers) hat Aufforderungen in Copilot eingegeben.
Einstellung eines Copilot-Plug-Ins aktualisiert
UpdateCopilotPlugin
Ein Benutzer (oder Administrator oder System im Namen eines Benutzers) hat eine Copilot-Plug-In-Einstellung aktualisiert.
Einstellung eines Copilot-Eingabeaufforderungsbuchs aktualisiert
UpdateCopilotPromptBook
Ein Benutzer (oder Administrator oder System im Namen eines Benutzers) hat eine Copilot-Promptbook-Einstellung aktualisiert.
Eine Copilot-Einstellung wurde aktualisiert.
UpdateCopilotSettings
Ein Administrator (oder ein System im Namen eines Administrators) hat eine Copilot-Einstellung aktualisiert.
Verzeichnisverwaltungsaktivitäten
In der folgenden Tabelle sind Microsoft Entra Verzeichnis- und domänenbezogene Aktivitäten aufgeführt, die protokolliert werden, wenn ein Administrator seine organization im Microsoft 365 Admin Center oder im Azure-Verwaltungsportal verwaltet.
Hinweis
Die Vorgangsnamen, die in der Spalte Vorgang in der folgenden Tabelle aufgeführt sind, enthalten einen Punkt ( . ). Sie müssen den Punkt in den Vorgangsnamen einbinden, wenn Sie den Vorgang in einem PowerShell-Befehl angeben wenn Sie das Überwachungsprotokoll durchsuchen, Aufbewahrungsrichtlinien für die Überwachung, Warnungsrichtlinien oder Aktivitätswarnungen erstellen. Achten Sie auch darauf, den Vorgangsnamen in doppelte Anführungszeichen (" ") zu setzen.
Anzeigename
Vorgang
Beschreibung
Domäne zu Unternehmen hinzugefügt
Domäne zu Unternehmen hinzufügen.
Es wurde eine Domäne zu Ihrer Organisation hinzugefügt.
Partner zum Verzeichnis hinzugefügt
Partner zu Unternehmen hinzufügen.
Es wurde ein Partner (delegierter Administrator) zu Ihrer Organisation hinzugefügt.
Domäne aus Unternehmen entfernt
Domäne aus Unternehmen entfernen.
Es wurde eine Domäne aus Ihrer Organisation entfernt.
Partner aus dem Verzeichnis entfernt
Partner aus Unternehmen entfernen.
Es wurde ein Partner (delegierter Administrator) aus Ihrer Organisation entfernt.
Unternehmensinformationen festgelegen
Unternehmensinformationen festgelegen.
Die Unternehmensinformationen für Ihre Organisation wurden aktualisiert. Enthält E-Mail-Adressen für abonnementbezogene E-Mails, die von Microsoft 365 gesendet werden, und technische Benachrichtigungen zu Microsoft 365-Diensten.
Domänenauthentifizierung festgelegt
Domänenauthentifizierung festlegen.
Die Einstellung der Domänenauthentifizierung für Ihre Organisation wurde geändert.
Verbundeinstellungen für eine Domäne aktualisiert
Verbundeinstellungen für Domäne festlegen.
Die Verbundeinstellungen (externe Freigabe) für Ihre Organisation wurden geändert.
Kennwortrichtlinie festlegen
Kennwortrichtlinie festlegen.
Die Längen- und Zeicheneinschränkungen für Benutzerkennwörter in Ihrer Organisation wurden geändert.
Azure AD Sync aktiviert
DirSyncEnabled-Flag festlegen.
Die Eigenschaft, die ein Verzeichnis für die Azure AD-Synchronisierungsdienste aktiviert, wurde festgelegt.
Domäne aktualisiert
Domäne aktualisieren.
Die Einstellungen einer Domäne in Ihrer Organisation wurden aktualisiert.
Domäne überprüft
Domäne überprüfen.
Es wurde überprüft, ob Ihre Organisation der Besitzer der Domäne ist.
Domäne mit E-Mail-Prüfung überprüft
Domäne mit E-Mail-Prüfung überprüfen.
Es wurde eine E-Mail-Prüfung verwendet, um zu überprüfen, ob Ihre Organisation der Besitzer der Domäne ist.
Löschungsprüfungsaktivitäten
In der folgenden Tabelle sind die Aktivitäten aufgeführt, die ein Löschungsprüfer ausgeführt hat , wenn ein Element das Ende seines konfigurierten Aufbewahrungszeitraums erreicht hat oder ein Element automatisch in die nächste Löschungsphase verschoben oder aufgrund der automatischen Genehmigung endgültig gelöscht wurde.
Anzeigename
Vorgang
Beschreibung
Genehmigte Entsorgung
ApproveDisposal
Zur manuellen Genehmigung: Ein Dispositionsprüfer hat die Löschung des Elements genehmigt, um es in die nächste Löschungsphase zu verschieben. Wenn sich das Element in der einzigen oder letzten Phase der Löschungsprüfung befand, wurde das Element durch die Löschungsgenehmigung als für die endgültige Löschung berechtigt markiert.
Für die automatische Genehmigung: Innerhalb des konfigurierten Zeitraums für die automatische Genehmigung wurde keine manuelle Aktion ausgeführt, sodass das Element automatisch in die nächste Löschungsphase verschoben wurde. Wenn sich das Element in der einzigen oder letzten Phase der Löschungsprüfung befand, wurde das Element automatisch zum endgültigen Löschen berechtigt.
Verlängerter Aufbewahrungszeitraum
ExtendRetention
Ein Löschungsprüfer hat den Aufbewahrungszeitraum des Elements verlängert.
Neu bezeichnetes Element
RelabelItem
Ein Löschungsprüfer hat die Aufbewahrungsbezeichnung neu bezeichnet.
Prüfer hinzugefügt
AddReviewer
Ein Löschungsprüfer hat einen oder mehrere andere Benutzer zur aktuellen Löschungsprüfungsphase hinzugefügt.
eDiscovery-Aktivitäten
Inhaltssuche und eDiscovery-bezogene Aktivitäten (für Microsoft Purview-eDiscovery (Standard) und Microsoft Purview-eDiscovery (Premium)), die im Microsoft Purview-Portal ausgeführt werden, Microsoft Purview-Complianceportal oder durch Ausführen der entsprechenden PowerShell-Cmdlets im Überwachungsprotokoll protokolliert werden. Ereignisse werden protokolliert, wenn Administratoren oder eDiscovery-Manager (oder benutzerseitig zugewiesene eDiscovery-Berechtigungen) die folgenden Aufgaben für die Inhaltssuche und eDiscovery (Standard) in den Portalen ausführen:
Erstellen und Verwalten von eDiscovery-Fällen (Standard) und eDiscovery (Premium).
Erstellen, Starten und Bearbeiten von Inhaltssuchen.
Ausführen von Suchaktionen, z. B. Vorschau, Exportieren und Löschen von Suchergebnissen.
Verwalten von Verwahrern und Überprüfungssätzen in eDiscovery (Premium).
Konfigurieren der Berechtigungsfilterung für die Inhaltssuche.
Verwalten der Rolle "eDiscovery-Administrator".
Weitere Informationen zum Durchsuchen des Überwachungsprotokolls, den erforderlichen Berechtigungen und zum Exportieren von Suchergebnissen finden Sie unter Durchsuchen des Überwachungsprotokolls.
Hinweis
Es dauert bis zu 30 Minuten, bis Aktivitäten, die sich aus den aktivitäten ergeben, die unter eDiscovery-Aktivitäten und eDiscovery -Aktivitäten (Premium) in der Dropdownliste Aktivitäten aufgeführt sind, in den Suchergebnissen angezeigt werden. Im Gegensatz dazu dauert es bis zu 24 Stunden, bis die entsprechenden Ereignisse aus eDiscovery-Cmdlet-Aktivitäten in der Liste der Suchergebnisse angezeigt werden.
Inhaltssuche und eDiscovery-Aktivitäten (Standard)
In der folgenden Tabelle werden die Aktivitäten inhaltssuche und eDiscovery (Standard) beschrieben, die protokolliert werden, wenn ein Administrator oder eDiscovery-Manager eine eDiscovery-bezogene Aktivität über das Complianceportal ausführt. Einige Aktivitäten, die in eDiscovery (Premium) ausgeführt werden, werden möglicherweise zurückgegeben, wenn Sie in dieser Liste nach Aktivitäten suchen.
Hinweis
Die in diesem Abschnitt beschriebenen eDiscovery-Aktivitäten bieten ähnliche Informationen wie die im nächsten Abschnitt beschriebenen eDiscovery-Cmdlet-Aktivitäten. Es wird empfohlen, die in diesem Abschnitt beschriebenen eDiscovery-Aktivitäten zu verwenden, da sie innerhalb von 30 Minuten in den Suchergebnissen des Überwachungsprotokolls angezeigt werden. Es kann bis zu 24 Stunden dauern, bis eDiscovery-Cmdlet-Aktivitäten in den Suchergebnissen des Überwachungsprotokolls angezeigt werden.
Anzeigename
Vorgang
Entsprechendes Cmdlet
Beschreibung
Mitglied zum eDiscovery-Fall hinzugefügt
CaseMemberAdded
Add-ComplianceCaseMember
Ein Benutzer wurde als Mitglied eines eDiscovery-Falls hinzugefügt. Als Mitglied eines Falls kann ein Benutzer verschiedene fallbezogene Aufgaben ausführen, je nachdem, ob ihm die erforderlichen Berechtigungen zugewiesen wurden.
Inhaltssuche geändert
SearchUpdated
Set-ComplianceSearch
Eine vorhandene Inhaltssuche wurde geändert. Änderungen können das Hinzufügen oder Entfernen von Inhaltsspeicherorten oder das Bearbeiten der Suchabfrage umfassen.
Geänderte eDiscovery-Administratormitgliedschaft
CaseAdminUpdated
Update-eDiscoveryCaseAdmin
Die Liste der eDiscovery-Administratoren in Ihrem organization wurde geändert. Diese Aktivität wird protokolliert, wenn die Liste der eDiscovery-Administratoren durch eine Gruppe neuer Benutzer ersetzt wird. Wenn ein einzelner Benutzer hinzugefügt oder entfernt wird, wird der Vorgang CaseAdminAdded protokolliert.
eDiscovery-Fall geändert
CaseUpdated
Set-ComplianceCase
Ein eDiscovery-Fall wurde geändert. Zu den Änderungen gehören das Schließen eines offenen Falls oder das erneute Öffnen eines geschlossenen Falls.
Geänderte eDiscovery-Fallmitgliedschaft
CaseMemberUpdated
Update-ComplianceCaseMember
Die Mitgliedschaftsliste eines eDiscovery-Falls wurde geändert. Diese Aktivität wird protokolliert, wenn alle Mitglieder durch eine Gruppe neuer Benutzer ersetzt werden. Wenn ein einzelnes Element hinzugefügt oder entfernt wird, wird der Vorgang CaseMemberAdded oder CaseMemberRemoved protokolliert.
Filter für Suchberechtigungen geändert
SearchPermissionUpdated
Set-ComplianceSecurityFilter
Ein Filter für Suchberechtigungen wurde geändert.
Geänderte Suchabfrage für den eDiscovery-Fallspeicher
HoldUpdated
Set-CaseHoldRule
Ein abfragebasierter Aufbewahrungsspeicher, der einem eDiscovery-Fall zugeordnet ist, wurde geändert. Mögliche Änderungen umfassen das Bearbeiten der Abfrage oder des Datumsbereichs für einen abfragebasierten Haltebereich.
Vorschauelement der Inhaltssuche heruntergeladen
PreviewItemDownloaded
Nicht zutreffend
Ein Benutzer hat bei der Vorschau der Suchergebnisse ein Element auf seinen lokalen Computer heruntergeladen (indem er den Link Originalelement herunterladen auswählt).
Vorschauelement der Inhaltssuche aufgelistet
PreviewItemListed
Nicht zutreffend
Ein Benutzer hat Suchergebnisse anzeigen ausgewählt, um die Vorschauseite für Suchergebnisse anzuzeigen, auf der bis zu 1.000 Elemente aus den Ergebnissen einer Suche aufgelistet werden.
Suche nach erstellten Inhalten
SucheCreated
New-ComplianceSearch
Eine neue Inhaltssuche wurde erstellt.
eDiscovery-Administrator erstellt
CaseAdminAdded
Add-eDiscoveryCaseAdmin
Ein Benutzer wurde im organization als eDiscovery-Administrator hinzugefügt.
eDiscovery-Fall erstellt
CaseAdded
New-ComplianceCase
Es wurde ein eDiscovery-Fall erstellt. Wenn ein Fall erstellt wird, müssen Sie ihm nur einen Namen geben. Andere fallbezogene Aufgaben wie das Hinzufügen von Mitgliedern, das Erstellen von Haltebereichen und das Erstellen von Inhaltssuchen, die dem Fall zugeordnet sind, führen dazu, dass zusätzliche Ereignisse protokolliert werden.
Suchberechtigungsfilter erstellt
SearchPermissionCreated
New-ComplianceSecurityFilter
Ein Filter für Suchberechtigungen wurde erstellt.
Suchabfrage für eDiscovery-Fallspeicher erstellt
HoldCreated
New-CaseHoldRule
Ein abfragebasierter Aufbewahrungsspeicher, der einem eDiscovery-Fall zugeordnet ist, wurde erstellt.
Suche nach gelöschten Inhalten
SearchRemoved
Remove-ComplianceSearch
Eine vorhandene Inhaltssuche wurde gelöscht.
eDiscovery-Administrator gelöscht
CaseAdminRemoved
Remove-eDiscoveryCaseAdmin
Ein eDiscovery-Administrator wurde aus Ihrem organization gelöscht.
eDiscovery-Fall gelöscht
CaseRemoved
Remove-ComplianceCase
Ein eDiscovery-Fall wurde gelöscht. Jeder mit dem Fall verknüpfte Halteraum muss entfernt werden, bevor der Fall gelöscht werden kann.
Filter für Suchberechtigungen gelöscht
SearchPermissionRemoved
Remove-ComplianceSecurityFilter
Ein Filter für Suchberechtigungen wurde gelöscht.
Gelöschte Suchabfrage für eDiscovery-Fallspeicher
HoldRemoved
Remove-CaseHoldRule
Ein abfragebasierter Aufbewahrungsspeicher, der einem eDiscovery-Fall zugeordnet ist, wurde gelöscht. Das Entfernen der Abfrage aus dem Halteraum ist häufig das Ergebnis des Löschens eines Halteraums. Wenn eine Halte- oder Halteabfrage gelöscht wird, werden die Inhaltsspeicherorte, die sich im Halteraum befanden, freigegeben.
Heruntergeladener Export der Inhaltssuche
SearchExportDownloaded
Nicht zutreffend
Ein Benutzer hat die Ergebnisse einer Inhaltssuche auf seinen lokalen Computer heruntergeladen. Die Aktivität "Export der Inhaltssuche wurde gestartet" muss initiiert werden, bevor Suchergebnisse heruntergeladen werden können.
Ergebnisse der Inhaltssuche in der Vorschau
SearchPreviewed
Nicht zutreffend
Ein Benutzer hat eine Vorschau der Ergebnisse einer Inhaltssuche angezeigt.
Gelöschte Ergebnisse der Inhaltssuche
SearchResultsPurged
New-ComplianceSearchAction
Ein Benutzer hat die Ergebnisse einer Inhaltssuche gelöscht, indem er den Befehl New-ComplianceSearchAction -Purge ausführt.
Analyse der Inhaltssuche entfernt
RemovedSearchResultsSentToZoom
Remove-ComplianceSearchAction
Eine Vorbereitungsaktion für die Inhaltssuche (zum Vorbereiten von Suchergebnissen für eDiscovery (Premium)) wurde gelöscht. Wenn die Vorbereitungsaktion weniger als zwei Wochen alt war, wurden die Suchergebnisse, die für eDiscovery (Premium) vorbereitet wurden, aus dem Microsoft Azure-Speicherbereich gelöscht. Wenn die Vorbereitungsaktion älter als 2 Wochen war, gibt dieses Ereignis an, dass nur die entsprechende Vorbereitungsaktion gelöscht wurde.
Export der Inhaltssuche entfernt
RemovedSearchExported
Remove-ComplianceSearchAction
Eine Exportaktion für die Inhaltssuche wurde gelöscht. Wenn die Exportaktion weniger als zwei Wochen alt war, wurden die Suchergebnisse, die in den Microsoft Azure-Speicherbereich hochgeladen wurden, gelöscht. Wenn die Exportaktion älter als 2 Wochen war, gibt dieses Ereignis an, dass nur die entsprechende Exportaktion gelöscht wurde.
Mitglied aus eDiscovery-Fall entfernt
CaseMemberRemoved
Remove-ComplianceCaseMember
Ein Benutzer wurde als Mitglied eines eDiscovery-Falls entfernt.
Vorschauergebnisse der Inhaltssuche entfernt
RemovedSearchPreviewed
Remove-ComplianceSearchAction
Eine Vorschauaktion für die Inhaltssuche wurde gelöscht.
Bei der Inhaltssuche ausgeführte Bereinigungsaktion entfernt
RemovedSearchResultsPurged
Remove-ComplianceSearchAction
Eine Aktion zum Löschen der Inhaltssuche wurde gelöscht.
Suchbericht entfernt
SearchReportRemoved
Remove-ComplianceSearchAction
Eine Aktion zum Exportieren eines Berichts für die Inhaltssuche wurde gelöscht.
Analyse der Inhaltssuche gestartet
SearchResultsSentToZoom
New-ComplianceSearchAction
Die Ergebnisse einer Inhaltssuche wurden für die Analyse in eDiscovery (Premium) vorbereitet.
Inhaltssuche gestartet
SucheStarted
Start-ComplianceSearch
Eine Inhaltssuche wurde gestartet. Wenn Sie eine Inhaltssuche über das Complianceportal erstellen oder ändern, wird die Suche automatisch gestartet.
Export der Inhaltssuche gestartet
SearchExported
New-ComplianceSearchAction
Ein Benutzer hat die Ergebnisse einer Inhaltssuche exportiert.
Exportbericht gestartet
SearchReport
New-ComplianceSearchAction
Ein Benutzer hat einen Bericht zur Inhaltssuche exportiert.
Inhaltssuche beendet
SearchStopped
Stop-ComplianceSearch
Ein Benutzer hat eine Inhaltssuche beendet.
(kein)
CaseViewed
Get-ComplianceCase
Ein Benutzer hat einen eDiscovery-Fall (Standard) im Complianceportal angezeigt. Der Überwachungsdatensatz für dieses Ereignis enthält den Namen des angezeigten Falls.
(kein)
SearchViewed
Get-ComplianceSearch
Ein Benutzer hat eine Inhaltssuche im Complianceportal angezeigt, indem er auf der Registerkarte Suchen in einem eDiscovery-Fall (Standard) auf die Suche zugreift oder auf der Inhaltssucheseite darauf zugreift. Der Überwachungsdatensatz für dieses Ereignis enthält die Identität der angezeigten Suche.
(kein)
ViewedSearchExported
Get-ComplianceSearchAction -Export
Ein Benutzer hat einen Export der Inhaltssuche im Complianceportal angezeigt, indem er auf der Seite Inhaltssuche auf der Registerkarte Exporte auf den Export zugreift. Diese Aktivität wird auch protokolliert, wenn ein Benutzer einen Export anzeigt, der einem eDiscovery-Fall (Standard) zugeordnet ist.
(kein)
ViewedSearchPreviewed
Get-ComplianceSearchAction -Preview
Ein Benutzer hat eine Vorschau der Ergebnisse einer Inhaltssuche im Complianceportal angezeigt. Diese Aktivität wird auch protokolliert, wenn ein Benutzer eine Vorschau der Ergebnisse einer Suche anzeigt, die einem eDiscovery-Fall (Standard) zugeordnet ist.
eDiscovery (Premium)-Aktivitäten
In der folgenden Tabelle werden die im Überwachungsprotokoll protokollierten eDiscovery -Aktivitäten (Premium) beschrieben. Mithilfe dieser Aktivitäten können Sie den Fortschritt der Aktivität in einem eDiscovery (Premium)-Fall nachverfolgen.
Anzeigename
Vorgang
Beschreibung
Daten zu einem anderen Prüfdateisatz hinzugefügt
AddWorkingSetQueryToWorkingSet
Der Benutzer hat Dokumente eines Prüfdateisatzes einem anderen hinzugefügt.
Daten zu einem Prüfdateisatz hinzugefügt
AddQueryToWorkingSet
Der Benutzer hat die Suchergebnisse aus einer Inhaltssuche, die einem eDiscovery (Premium)-Fall zugeordnet ist, einem Überprüfungssatz hinzugefügt.
Nicht von Microsoft 365 stammende Daten zu Prüfdateisatz hinzugefügt
AddNonOffice365DataToWorkingSet
Ein Benutzer hat nicht von Microsoft 365 stammende Daten zu einem Prüfdateisatz hinzugefügt.
Wiederhergestellte Dokumente zu Prüfdateisatz hinzugefügt
AddRemediatedData
Der Benutzer lädt Dokumente hoch, bei denen Indizierungsfehler aufgetreten sind, die in einem Prüfdateisatz festgehalten worden sind.
Daten im Prüfdateisatz analysiert
RunAlgo
Der Benutzer hat Analysen für die Dokumente in einem Überprüfungssatz ausgeführt.
Dokument im Prüfdateisatz kommentiert
AnnotateDocument
Ein Benutzer hat ein Dokument in einem Prüfdateisatz kommentiert. „Kommentieren“ umfasst auch das Bearbeiten/Redigieren des Dokuments.
Ladesätze verglichen
LoadComparisonJob
Der Benutzer hat zwei verschiedene Ladesätze in einem Prüfdateisatz verglichen. Unter Ladesatz versteht man, dass Daten aus einer Inhaltssuche, die einem Fall zugeordnet sind, einem Prüfdateisatz hinzugefügt werden.
Dokumente in PDF-Dateien konvertiert
BurnJob
Der Benutzer hat alle redigierten Dokumente in einem Prüfdateisatz in PDF-Dateien konvertiert.
Prüfdateisatz erstellt
CreateWorkingSet
Der Benutzer hat einen Prüfdateisatz erstellt.
Prüfdateisatzsuche erstellt
CreateWorkingSetSearch
Der Benutzer hat eine Suchabfrage erstellt, die die Dokumente in einem Prüfdateisatz durchsuchen.
Tag erstellt
CreateTag
Ein Benutzer hat eine Tag-Gruppe in einem Prüfdateisatz erstellt. Eine Tag-Gruppe kann ein oder mehrere untergeordnete Tags enthalten. Diese Tags werden dann zum Taggen von Dokumenten im Prüfdateisatz verwendet.
Prüfdateisatzsuche gelöscht
DeleteWorkingSetSearch
Ein Benutzer hat eine Suchabfrage in einem Prüfdateisatz gelöscht.
Tag gelöscht
DeleteTag
Ein Benutzer hat ein Tag oder eine Tag-Gruppe in einem Prüfdateisatz gelöscht.
Heruntergeladenes Dokument
DownloadDocument
Ein Benutzer hat ein Dokument aus einem Prüfdateisatz heruntergeladen.
Tag bearbeitet
UpdateTag
Ein Benutzer hat ein Tag in einem Prüfdateisatz geändert.
Dokumente aus einem Prüfdateisatz exportiert
ExportJob
Der Benutzer hat Dokumente aus einem Prüfdateisatz exportiert.
Falleinstellungen geändert
UpdateCaseSettings
Der Benutzer hat die Einstellungen für einen Fall geändert. Die Falleinstellungen umfassen Fallinformationen, Zugriffsberechtigungen und Einstellungen, mit denen das Such- und Analyseverhalten gesteuert werden.
Prüfdateisatzsuche geändert
UpdateWorkingSetSearch
Ein Benutzer hat eine Suchabfrage in einem Prüfdateisatz geändert.
Vorschau einer Prüfdateisatzsuche angezeigt
PreviewWorkingSetSearch
Der Benutzer hat die Ergebnisse einer Suchabfrage in einem Prüfdateisatz in einer Vorschau angezeigt.
Fehler in Dokumenten behoben
ErrorRemediationJob
Der Benutzer behebt Dateien mit Indizierungsfehlern.
Dokument getaggt
TagFiles
Ein Benutzer hat ein Dokument in einem Prüfdateisatz mit Tags versehen.
Ergebnisse einer Abfrage getaggt
TagJob
Ein Benutzer hat alle Dokumente getaggt, die den Kriterien einer Suchabfrage in einem Prüfdateisatz entsprechen.
Dokument im Prüfdateisatz angezeigt
ViewDocument
Ein Benutzer hat ein Dokument in einem Prüfdateisatz angezeigt.
eDiscovery-Cmdlet-Aktivitäten
In der folgenden Tabelle sind die Cmdlet-Überwachungsprotokolldatensätze aufgeführt, die protokolliert werden, wenn ein Administrator oder Benutzer eine eDiscovery-bezogene Aktivität über das Complianceportal oder durch Ausführen des entsprechenden Cmdlets in Security & Compliance PowerShell ausführt. Die ausführlichen Informationen im Überwachungsprotokolldatensatz unterscheiden sich für die in dieser Tabelle aufgeführten Cmdlet-Aktivitäten und die im vorherigen Abschnitt beschriebenen eDiscovery-Aktivitäten.
Wie bereits erwähnt, kann es bis zu 24 Stunden dauern, bis eDiscovery-Cmdlet-Aktivitäten in den Suchergebnissen des Überwachungsprotokolls angezeigt werden.
Tipp
Die Cmdlets in der Spalte Operation in der folgenden Tabelle sind mit dem entsprechenden Cmdlet-Hilfethema auf TechNet verknüpft. Eine Beschreibung der verfügbaren Parameter für die einzelnen Cmdlets finden Sie im Hilfethema zu Cmdlets. Der Parameter und der Parameterwert, die mit einem Cmdlet verwendet wurden, sind im Überwachungsprotokolleintrag für jede protokollierte eDiscovery-Cmdlet-Aktivität enthalten.
Für einen eDiscovery-Fall wurde ein Halteraum erstellt. Ein Halteraum kann mit oder ohne Angabe einer Inhaltsquelle erstellt werden. Wenn Inhaltsquellen angegeben sind, werden sie im Überwachungsprotokolleintrag identifiziert.
Ein Halteraum, der einem eDiscovery-Fall zugeordnet ist, wurde gelöscht. Durch das Löschen eines Halteraums werden alle Inhaltsspeicherorte aus dem Halteraum entfernt. Das Löschen des Halteraums führt auch dazu, dass die dem Halteraum zugeordneten Aufbewahrungsregeln gelöscht werden (siehe Remove-CaseHoldRule).
Ein Halteraum, der einer eDiscovery zugeordnet ist, wurde geändert. Mögliche Änderungen umfassen das Hinzufügen oder Entfernen von Inhaltsspeicherorten oder das Deaktivieren (Deaktivieren) des Halteraums.
Ein abfragebasierter Aufbewahrungsspeicher, der einem eDiscovery-Fall zugeordnet ist, wurde gelöscht. Das Entfernen der Abfrage aus dem Halteraum ist häufig das Ergebnis des Löschens eines Halteraums. Wenn eine Halte- oder Halteabfrage gelöscht wird, werden die Inhaltsspeicherorte, die sich im Halteraum befanden, freigegeben.
Geänderte Suchabfrage für den eDiscovery-Fallspeicher
Ein abfragebasierter Aufbewahrungsspeicher, der einem eDiscovery-Fall zugeordnet ist, wurde geändert. Mögliche Änderungen umfassen das Bearbeiten der Abfrage oder des Datumsbereichs für einen abfragebasierten Haltebereich.
Es wurde ein eDiscovery-Fall erstellt. Wenn ein Fall erstellt wird, müssen Sie ihm nur einen Namen geben. Andere fallbezogene Aufgaben wie das Hinzufügen von Mitgliedern, das Erstellen von Haltebereichen und das Erstellen von Inhaltssuchen, die dem Fall zugeordnet sind, führen dazu, dass zusätzliche Ereignisse protokolliert werden.
Ein Benutzer wurde als Mitglied eines eDiscovery-Falls hinzugefügt. Als Mitglied eines Falls kann ein Benutzer verschiedene fallbezogene Aufgaben ausführen, je nachdem, ob ihm die erforderlichen Berechtigungen zugewiesen wurden.
Die Mitgliedschaftsliste eines eDiscovery-Falls wurde geändert. Diese Aktivität wird protokolliert, wenn alle Mitglieder durch eine Gruppe neuer Benutzer ersetzt werden. Wenn ein einzelnes Element hinzugefügt oder entfernt wird, wird der Vorgang Add-ComplianceCaseMember oder Remove-ComplianceCaseMember protokolliert.
Eine vorhandene Inhaltssuche wurde geändert. Änderungen können das Hinzufügen oder Entfernen von Inhaltsspeicherorten, die durchsucht werden, und das Bearbeiten der Suchabfrage umfassen.
Eine Inhaltssuche wurde gestartet. Wenn Sie eine Inhaltssuche über die GRAFISCHE Benutzeroberfläche des Complianceportals erstellen oder ändern, wird die Suche automatisch gestartet. Wenn Sie eine Suche mit dem Cmdlet New-ComplianceSearch oder Set-ComplianceSearch erstellen oder ändern, müssen Sie das Cmdlet Start-ComplianceSearch ausführen, um die Suche zu starten.
Eine Inhaltssuchaktion wurde erstellt. Inhaltssuchaktionen umfassen die Vorschau von Suchergebnissen, das Exportieren von Suchergebnissen, das Vorbereiten von Suchergebnissen für die Analyse in eDiscovery (Premium) und das endgültige Löschen von Elementen, die den Suchkriterien einer Inhaltssuche entsprechen.
Die Liste der eDiscovery-Administratoren in Ihrem organization wurde geändert. Diese Aktivität wird protokolliert, wenn die Liste der eDiscovery-Administratoren durch eine Gruppe neuer Benutzer ersetzt wird. Wenn ein einzelner Benutzer hinzugefügt oder entfernt wird, wird der Vorgang Add-eDiscoveryCaseAdmin oder Remove-eDiscoveryCaseAdmin protokolliert.
Diese Aktivität wird protokolliert, wenn ein Benutzer eine Liste von eDiscovery -Fällen (Standard) oder eDiscovery (Premium) angezeigt hat. Diese Aktivität wird auch protokolliert, wenn ein Benutzer einen bestimmten Fall in eDiscovery (Standard) anzeigt. Wenn ein Benutzer einen bestimmten Fall anzeigt, enthält der Überwachungsdatensatz die Identität des angezeigten Falls. Wenn der Benutzer nur eine Liste von Fällen angezeigt hat, enthält der Überwachungsdatensatz keine Fallidentität.
Diese Aktivität wird protokolliert, wenn ein Benutzer eine Liste von Inhaltssuchen oder Suchvorgängen angezeigt hat, die einem eDiscovery-Fall (Standard) zugeordnet sind. Diese Aktivität wird auch protokolliert, wenn ein Benutzer eine bestimmte Inhaltssuche oder eine bestimmte Suche anzeigt, die einem eDiscovery-Fall (Standard) zugeordnet ist. Wenn ein Benutzer eine bestimmte Suche anzeigt, enthält der Überwachungsdatensatz die Identität der angezeigten Suche. Wenn der Benutzer nur eine Liste von Suchvorgängen angezeigt hat, enthält der Überwachungsdatensatz keine Suchidentität.
Diese Aktivität wird protokolliert, wenn ein Benutzer eine Liste von Compliance-Suchaktionen (z. B. Exporte, Vorschauen oder Bereinigungen) oder Aktionen im Zusammenhang mit einem eDiscovery-Fall (Standard) angezeigt hat. Diese Aktivität wird auch protokolliert, wenn ein Benutzer eine bestimmte Konformitätssuchaktion (z. B. einen Export) oder eine bestimmte Aktion anzeigt, die einem eDiscovery-Fall (Standard) zugeordnet ist. Wenn ein Benutzer eine Suchaktion anzeigt, enthält der Überwachungsdatensatz die Identität der angezeigten Suchaktion. Wenn der Benutzer nur eine Liste von Aktionen angezeigt hat, enthält der Überwachungsdatensatz keine Aktionsidentität.
Detaillierte Eigenschaften für eDiscovery-Aktivitäten
In der folgenden Tabelle werden die Eigenschaften beschrieben, die auf der Flyoutseite für eine in den Suchergebnissen aufgeführte eDiscovery-Aktivität enthalten sind. Diese Eigenschaften sind auch in der CSV-Datei enthalten, wenn Sie die Überwachungsprotokollsuchergebnisse exportieren. Ein Überwachungsprotokolldatensatz für eine eDiscovery-Aktivität enthält nicht jede detaillierte Eigenschaft, die in der folgenden Tabelle aufgeführt ist.
Tipp
Wenn Sie die Suchergebnisse exportieren, enthält die CSV-Datei eine Spalte mit dem Namen AudtiData, die die in der folgenden Tabelle beschriebenen detaillierten Eigenschaften in einer mehrwertigen Eigenschaft enthält. Sie können die Power Query-Funktion in Excel verwenden, um diese Spalte in mehrere Spalten aufzuteilen, sodass jede Eigenschaft über eine eigene Spalte verfügt. Dadurch können Sie eine oder mehrere dieser Eigenschaften sortieren und filtern. Weitere Informationen finden Sie unter Durchsuchen des Überwachungsprotokolls.
Eigenschaft
Beschreibung
Fall
Die Identität (GUID) des eDiscovery-Falls, der erstellt, geändert oder gelöscht wurde.
ClientApplication
eDiscovery-Cmdlet-Aktivitäten haben für diese Eigenschaft den Wert EMC . Dies gibt an, dass die Aktivität mithilfe der GUI des Complianceportals oder mithilfe des Cmdlets in PowerShell ausgeführt wurde.
ClientIP
Die IP-Adresse des Geräts, das verwendet wurde, als die Aktivität protokolliert wurde. Die IP-Adresse wird im Adressformat IPv4 oder IPv6 angezeigt.
ClientRequestId
Bei eDiscovery-Aktivitäten ist diese Eigenschaft in der Regel leer.
CmdletVersion
Die Buildnummer für die Version des Complianceportals, das in Ihrem organization ausgeführt wird.
CreationTime
Das Datum und die Uhrzeit in koordinierter Weltzeit (UTC), zu dem die eDiscovery-Aktivität abgeschlossen wurde.
EffectiveOrganization
Der Name des Microsoft 365-organization.
ExchangeLocations
Die Exchange Online Postfächer, die in einer Inhaltssuche enthalten oder in einem eDiscovery-Fall im Haltefeld platziert werden.
Ausschlüsse
Postfach- oder Websitespeicherorte, die in einem eDiscovery-Fall von einer Inhaltssuche oder einem Haltefeld ausgeschlossen sind.
ExtendedProperties
Zusätzliche Eigenschaften aus einer Inhaltssuche, einer Inhaltssucheaktion oder halte in einem eDiscovery-Fall, z. B. die Objekt-GUID und die entsprechenden Cmdlet- und Cmdlet-Parameter, die beim Ausführen der Aktivität verwendet wurden.
Id
Die ID des Berichtseintrags. Die ID identifiziert den Überwachungsprotokolleintrag eindeutig.
NonPIIParameters
Eine Liste der Parameter (ohne Werte), die mit dem cmdlet verwendet wurden, das in der Operation-Eigenschaft angegeben ist. Die in dieser Eigenschaft aufgeführten Parameter sind identisch mit denen, die in der Parameters-Eigenschaft aufgeführt sind.
ObjectId
Die GUID oder der Name des Objekts (z. B. eine Inhaltssuche oder ein eDiscovery-Fall (Standard), auf das von der in der Operation-Eigenschaft aufgeführten Aktivität erstellt, zugegriffen, geändert oder gelöscht wurde. Dieses Objekt wird auch in der Spalte Item in den Suchergebnissen des Überwachungsprotokolls identifiziert.
ObjectType
Der Typ des eDiscovery-Objekts, das der Benutzer erstellt, gelöscht oder geändert hat; Beispielsweise eine Inhaltssuchaktion (Vorschau, Export oder Bereinigung), ein eDiscovery-Fall oder eine Inhaltssuche.
Vorgang
Der Name des Vorgangs, der der ausgeführten eDiscovery-Aktivität entspricht.
OrganizationId
Die GUID für Ihre Microsoft 365-organization.
Parameter
Der Name und Wert für die Parameter, die mit dem entsprechenden Cmdlet verwendet wurden.
PublicFolderLocations
Die Speicherorte öffentlicher Ordner in Exchange Online, die in einer Inhaltssuche enthalten oder in einem eDiscovery-Fall im Haltefeld platziert werden.
Abfrage
Die der Aktivität zugeordnete Suchabfrage, z. B. eine Inhaltssuche oder ein abfragebasierter Halteraum.
RecordType
Der vom Datensatz angegebene Vorgangstyp. Der Wert 18 gibt ein Ereignis im Zusammenhang mit einer Aktivität an, die im Abschnitt eDiscovery-Cmdlet-Aktivitäten aufgeführt ist. Der Wert 24 gibt ein Ereignis im Zusammenhang mit einer Aktivität an, die im Abschnitt eDiscovery-Aktivitäten aufgeführt ist.
ResultStatus
Gibt an, ob die Aktion (in der Eigenschaft "Operation" angegeben) erfolgreich war oder nicht.
SecurityComplianceCenterEventType
Gibt an, dass es sich bei der Aktivität um ein Complianceportalereignis handelt. Alle eDiscovery-Aktivitäten haben für diese Eigenschaft den Wert 0 .
SharepointLocations
Die SharePoint Online-Websites, die in einer Inhaltssuche enthalten sind oder in einem eDiscovery-Fall im Haltefeld platziert werden.
StartTime
Das Datum und die Uhrzeit in koordinierter Weltzeit (UTC), als die eDiscovery-Aktivität gestartet wurde.
UserId
Der Benutzer, der die Aktivität ausgeführt hat (angegeben in der Operation-Eigenschaft), die dazu geführt hat, dass der Datensatz protokolliert wurde. Datensätze für eDiscovery-Aktivitäten, die von Systemkonten (z. B. NT AUTHORITY\SYSTEM) ausgeführt werden, sind ebenfalls im Überwachungsprotokoll enthalten.
UserKey
Eine alternative ID für den in der UserId-Eigenschaft identifizierten Benutzer. Bei eDiscovery-Aktivitäten ist der Wert für diese Eigenschaft in der Regel mit der UserId-Eigenschaft identisch.
UserServicePlan
Das von Ihrem organization verwendete Abonnement. Bei eDiscovery-Aktivitäten ist diese Eigenschaft in der Regel leer.
UserType
Der Typ des Benutzers, der den Vorgang ausgeführt hat. Die folgenden Werte geben den Benutzertyp an. 0 Ein normaler Benutzer. 2 Ein Administrator in Ihrem organization. 3 Ein Microsoft-Rechenzentrumsadministrator- oder Rechenzentrumssystemkonto. 4 Ein Systemkonto. 5 Eine Anwendung. 6 Ein Dienstprinzipal.
Version
Gibt die Versionsnummer der aktivität (identifiziert durch die Operation-Eigenschaft) an, die protokolliert wird.
Arbeitslast
Der Dienst, in dem die Aktivität aufgetreten ist. Für eDiscovery-Aktivitäten lautet der Wert SecurityComplianceCenter.
Portalaktivitäten für verschlüsselte Nachrichten
Zugriffsprotokolle sind für verschlüsselte Nachrichten über das Portal für verschlüsselte Nachrichten verfügbar, mit denen Ihre Organisation bestimmen kann, wann Nachrichten gelesen und von ihren externen Empfängern weitergeleitet werden. Weitere Informationen zum Aktivieren und Verwenden von Aktivitätsprotokollen im Portal für verschlüsselte Nachrichten finden Sie unter Aktivitätsprotokoll des Portals für verschlüsselte Nachrichten.
Jeder Überwachungseintrag für eine nachverfolgte Nachricht enthält die folgenden Felder:
MessageID: Enthält die ID der Nachricht, die nachverfolgt wird. Der Schlüsselbezeichner, der verwendet wird, um einer Nachricht durch das System zu folgen.
Empfänger: Liste aller Empfänger-E-Mail-Adressen.
Absender: Die ursprüngliche E-Mail-Adresse.
AuthenticationMethod: Beschreibt die Authentifizierungsmethode für den Zugriff auf die Nachricht, z. B. OTP, Yahoo, Gmail oder Microsoft.
AuthenticationStatus: Enthält einen Wert, der angibt, dass die Authentifizierung erfolgreich war oder fehlgeschlagen ist.
OperationStatus: Gibt an, ob der angegebene Vorgang erfolgreich war oder fehlgeschlagen ist.
AttachmentName: Name der Anlage.
OperationProperties: Eine Liste optionaler Eigenschaften. Beispielsweise die Anzahl der gesendeten OTP-Kennungen oder der E-Mail-Betreff.
Exchange-Administratoraktivitäten
Mit der Exchange-Administratorüberwachungsprotokollierung, die in Microsoft 365 standardmäßig aktiviert ist, wird ein Ereignis im Überwachungsprotokoll erfasst, wenn ein Administrator (oder ein Benutzer, dem Administratorrechte zugewiesen wurden) eine Änderung in Ihrer Exchange Online-Organisation vornimmt. Änderungen, die im Exchange Admin Center oder durch Ausführen eines Cmdlets in der Exchange Online PowerShell vorgenommen werden, werden im Exchange-Administratorüberwachungsprotokoll erfasst. Cmdlets, die mit den Verben Get-, Search- oder Test- beginnen, werden nicht im Überwachungsprotokoll protokolliert. Ausführlichere Informationen zur Administratorüberwachungsprotokollierung in Exchange finden Sie unter Administratorüberwachungsprotokollierung.
Wichtig
Einige Exchange Online-Cmdlets, die nicht im Exchange-administratorüberwachungsprotokoll (oder im Überwachungsprotokoll) protokolliert sind. Viele dieser Cmdlets beziehen sich auf die Verwaltung des Exchange Online-Diensts und werden vom Personal des Microsoft-Rechenzentrums oder Dienstkonten ausgeführt. Diese Cmdlets werden nicht protokolliert, weil die große Anzahl von Überwachungsereignissen zu großem „Rauschen“ führen würde. Wenn ein nicht überwachtes Exchange Online Cmdlet vorhanden ist, übermitteln Sie dem Microsoft-Support bitte eine Entwurfsänderungsanforderung (Design Change Request, DCR).
Nachfolgend finden Sie einige Tipps für die Suche nach Exchange-Administratoraktivitäten beim Durchsuchen des Überwachungsprotokolls:
Verwenden Sie die Felder für Datumsbereiche und die Liste Benutzer, um die Suchergebnisse auf Cmdlets zu begrenzen, die von einem bestimmten Exchange-Administrator innerhalb eines bestimmten Zeitraums ausgeführt wurden.
Um Ereignisse aus dem Exchange-Administratorüberwachungsprotokoll anzuzeigen, wählen Sie die Spalte Aktivität aus, um die Cmdlet-Namen in alphabetischer Reihenfolge zu sortieren.
Um Informationen darüber zu erhalten, welches Cmdlet ausgeführt wurde, welche Parameter und Parameterwerte verwendet wurden und welche Objekte betroffen waren, können Sie die Suchergebnisse exportieren, indem Sie die Option Alle Ergebnisse herunterladen auswählen. Weiter Informationen findn Sie unterExportieren, Konfigurieren und Anzeigen von Überwachungsprotokoll-Datensätzen.
Sie können auch den Befehl Search-UnifiedAuditLog -RecordType ExchangeAdmin in der Exchange Online PowerShell verwenden, um nur Überwachungsdatensätze aus dem Exchange-Administratorüberwachungsprotokoll zurückzugeben. Nach der Ausführung eines Exchange-Cmdlet kann es bis zu 30 Minuten dauern, bis der entsprechende Überwachungsprotokolleintrag in den Suchergebnissen zurückgegeben wird. Weitere Informationen finden Sie unter Search-UnifiedAuditLog. Informationen zum Exportieren der vom Search-UnifiedAuditLog-Cmdlet zurückgegebenen Suchergebnisse in eine CSV-Datei finden Sie im Abschnitt „Tipps zum Exportieren, konfigurieren und Anzeigen des Überwachungsprotokolls“ in Exportieren und Anzeigen des Überwachungsprotokolls.
Exchange-Postfachaktivitäten
In der folgenden Tabelle sind die Aktivitäten aufgelistet, die von der Postfachüberwachungsprotokollierung erfasst werden können. Postfachaktivitäten, die vom Postfachbesitzer, einem delegierten Benutzer oder einem Administrator ausgeführt werden, werden bis zu 180 Tage lang automatisch im Überwachungsprotokoll protokolliert. Ein Administrator kann die Postfachüberwachungsprotokollierung für alle Benutzer in Ihrer Organisation deaktivieren. In diesem Fall werden für alle Benutzer Postfachaktivitäten nicht protokolliert. Weitere Informationen finden Sie unter Postfachüberwachungen verwalten.
Wichtig
Der Standardaufbewahrungszeitraum für Audit (Standard) wurde von 90 Tagen in 180 Tage geändert. Überwachungsprotokolle (Standard), die vor dem 17. Oktober 2023 generiert wurden, werden 90 Tage lang aufbewahrt. Überwachungsprotokolle (Standard), die am oder nach dem 17. Oktober 2023 generiert werden, folgen der neuen Standardaufbewahrung von 180 Tagen.
Nachrichten wurden gelesen oder es wurde im Postfach darauf zugegriffen. Überwachungsdatensätze für diese Aktivität werden auf eine von zwei Arten ausgelöst: Wenn ein E-Mail-Client (wie z.Bb. Outlook) einen Bindungsvorgang für Nachrichten ausführt oder wenn E-Mail-Protokolle (wie Exchange ActiveSync oder IMAP) Elemente in einem E-Mail-Ordner synchronisieren. Die Analyse von Überwachungsdatensätzen für diese Aktivität ist hilfreich bei der Untersuchung eines kompromittierten E-Mail-Kontos.
Postfachberechtigungen für Stellvertretung hinzugefügt
Add-MailboxPermission
Ein Administrator hat einem Benutzer die Postfachberechtigung „FullAccess“ für das Postfach einer anderen Person zugewiesen (auch „Stellvertretung“ genannt). Die Berechtigung "FullAccess" erlaubt der Stellvertretung, das Postfach der anderen Person zu öffnen sowie den Inhalt des Postfachs zu lesen und zu verwalten. Der Überwachungsdatensatz für diese Aktivität wird auch generiert, wenn ein Systemkonto im Microsoft 365-Dienst regelmäßig Wartungsaufgaben im Auftrag Ihrer Organisation ausführt. Eine gängige Aufgabe, die von einem Systemkonto ausgeführt wird, ist das Aktualisieren der Berechtigungen für Systempostfächer. Weitere Informationen finden Sie unter Systemkonten in Postfachüberwachungsdatensätzen von Exchange.
Benutzer mit Stellvertretungszugriff auf den Kalenderordner hinzugefügt oder entfernt
UpdateCalendarDelegation
Ein Benutzer wurde als Stellvertretung für den Kalender eines anderen Benutzers hinzugefügt oder entfernt. Der Stellvertretungszugriff gibt anderen Personen in der gleichen Organisation die Berechtigung zum Verwalten des Kalenders des Postfachbesitzers.
Berechtigungen für Ordner hinzugefügt
AddFolderPermissions
Eine Ordnerberechtigung wurde hinzugefügt. Ordnerberechtigungen steuern, welche Benutzer in Ihrer Organisation auf Ordner in einem Postfach zugreifen können und welche Nachrichten sich in diesen Ordnern befinden.
Nachrichten in anderen Ordner kopiert
Copy
Eine Nachricht wurde in einen anderen Ordner kopiert.
Erstelltes Postfachelement
Erstellen
Ein Element wird im „Kalender“, in den „Kontakten“, den „Notizen“ oder im „Aufgabenordner“ des Postfachs erstellt. Ein Beispiel: Es wird eine neue Besprechungsanfrage erstellt. Beachten Sie, dass das Erstellen, Senden oder Empfangen einer Nachricht nicht überwacht wird. Außerdem wird das Erstellen eines Postfachordners nicht überwacht.
Neue Posteingangsregel in der Outlook Web App erstellt
New-InboxRule
Ein Postfachbesitzer oder ein anderer Benutzer mit Zugriff auf das Postfach hat in der Outlook Web App eine Posteingangsregel erstellt.
Nachrichten aus Ordner „Gelöschte Elemente“ gelöscht
SoftDelete
Eine Nachricht wurde dauerhaft gelöscht oder aus dem Ordner „Gelöschte Objekte“ gelöscht. Diese Elemente werden in den Ordner "Wiederherstellbare Elemente" verschoben. Nachrichten werden auch in den Ordner „Wiederherstellbare Elemente“ verschoben, wenn ein Benutzer diese auswählt undUMSCHALT+ENTF drückt.
Nachricht als Datensatz klassifiziert
ApplyRecordLabel
Eine Nachricht wurde als Datensatz klassifiziert. Tritt auf, wenn eine Aufbewahrungsbezeichnung, die Inhalte als Datensatz klassifiziert, manuell oder automatisch auf eine Nachricht angewendet wird.
Nachrichten in anderen Ordner verschoben
Move
Eine Nachricht wurde in einen anderen Ordner verschoben.
Nachrichten in Ordner "Gelöschte Elemente" verschoben
MoveToDeletedItems
Eine Nachricht wurde gelöscht und in den Ordner "Gelöschte Elemente" verschoben.
Ordnerberechtigung geändert
UpdateFolderPermissions
Eine Ordnerberechtigung wurde geändert. Ordnerberechtigungen steuern, welche Benutzer in Ihrer Organisation auf Postfachordner und die Nachrichten in diesen Ordnern zugreifen können.
Posteingangsregel in Outlook Web App geändert
Set-InboxRule
Ein Postfachbesitzer oder ein anderer Benutzer mit Zugriff auf das Postfach hat in der Outlook Web App eine Posteingangsregel geändert.
Nachrichten aus Postfach gelöscht
HardDelete
Eine Nachricht wurde aus dem Ordner "Wiederherstellbare Elemente" gelöscht (dauerhaft aus dem Postfach entfernt).
Postfachberechtigungen für Stellvertretung entfernt
Remove-MailboxPermission
Ein Administrator hat die Berechtigung „FullAccess“ (die einer Stellvertretung zugewiesen wurde) aus dem Postfach einer Person entfernt. Nachdem die Berechtigung „FullAccess“ entfernt wurde, kann die Stellvertretung das Postfach der anderen Person nicht mehr öffnen und nicht mehr auf Inhalte in dem Postfach zugreifen.
Ordnerberechtigung entfernt
RemoveFolderPermissions
Eine Ordnerberechtigung wurde entfernt. Ordnerberechtigungen steuern, welche Benutzer in Ihrer Organisation auf Ordner in einem Postfach zugreifen können und welche Nachrichten sich in diesen Ordnern befinden.
Gesendete Nachricht
Senden
Eine Nachricht wurde gesendet, beantwortet oder weitergeleitet.
Nachricht mit Berechtigungen vom Typ "Senden als" gesendet
SendAs
Eine Nachricht wurde unter Verwendung der SendAs-Berechtigung gesendet. Das bedeutet, dass ein anderer Benutzer die Nachricht so gesendet hat, dass sie vom Postfachbesitzer zu kommen scheint.
Nachricht mit Berechtigungen vom Typ "Senden im Auftrag von" gesendet
SendOnBehalf
Eine Nachricht wurde unter Verwendung der SendOnBehalf-Berechtigung gesendet. Das bedeutet, dass ein anderer Benutzer die Nachricht im Namen des Postfachbesitzers gesendet hat. Bei der Nachricht ist für den Empfänger angegeben, in wessen Auftrag die Nachricht gesendet wurde und wer die Nachricht tatsächlich gesendet hat.
Posteingangsregeln des Outlook-Clients aktualisiert
UpdateInboxRules
Ein Postfachbesitzer oder ein anderer Benutzer mit Zugriff auf das Postfach hat unter Verwendung des Outlook-Clients eine Posteingangsregel erstellt, geändert oder entfernt.
Nachricht aktualisiert
Update
Eine Nachricht oder ihre Eigenschaften wurden geändert.
Benutzer am Postfach angemeldet
MailboxLogin
Der Benutzer hat sich bei seinem Postfach angemeldet.
Nachricht als Datensatz bezeichnen
Ein Benutzer hat eine Aufbewahrungsbezeichnung auf eine E-Mail-Nachricht angewendet, und diese Bezeichnung ist so konfiguriert, dass das Element als Datensatz gekennzeichnet wird.
Systemkonten in Postfachüberwachungsdatensätzen von Exchange
In „Überwachungsdatensätzen für einige Postfachaktivitäten“ (insbesondere Add-MailboxPermissions) fällt Ihnen möglicherweise auf, dass der Benutzer, der die Aktivität ausgeführt hat (und in den Feldern „Benutzer“ und „Benutzer-ID“ angegeben ist), NT AUTHORITY\SYSTEM oder NT AUTHORITY\SYSTEM(Microsoft.Exchange ist. Servicehost). Dies weist darauf hin, dass es sich bei dem "Benutzer", der die Aktivität ausgeführt hat, um ein Systemkonto im Exchange-Dienst in der Microsoft-Cloud handelte. Dieses Systemkonto führt häufig geplante Wartungsaufgaben im Auftrag Ihrer Organisation aus. Beispielsweise eine allgemeine überwachte Aktivität, die vom Konto NT AUTHORITY\SYSTEM(Microsoft.Exchange. ServiceHost) durchgeführt wird, ist das Aktualisieren der Berechtigungen für DiscoverySearchMailbox, bei der es sich um ein Systempostfach handelt. Mit diesem Update soll überprüft werden, ob die FullAccess-Berechtigung (die als Standardeinstellung gilt) der Rollengruppe "Discoveryverwaltung" für DiscoverySearchMailbox zugewiesen ist. Stellt sicher, dass eDiscovery-Administratoren die erforderlichen Aufgaben in ihren organization ausführen können.
Ein weiteres Systembenutzerkonto, das in einem Überwachungsdatensatz für Add-MailboxPermission identifiziert werden kann, ist Administrator@apcprd03.prod.outlook.com. Dieses Dienstkonto ist auch in Postfachüberwachungsdatensätzen enthalten, die sich auf die Überprüfung und Aktualisierung der FullAccess-Berechtigung beziehen, die der Rollengruppe "Discoveryverwaltung" für das DiscoverySearchMailbox-Systempostfach zugewiesen ist. Insbesondere Überwachungsdatensätze, die das Konto identifizieren, werden in der Administrator@apcprd03.prod.outlook.com Regel ausgelöst, wenn Microsoft-Supportmitarbeiter ein diagnosetool für die rollenbasierte Zugriffssteuerung im Namen Ihrer organization ausführen.
Datei- und Seitenaktivitäten
In der folgenden Tabelle sind die Datei- und Seitenaktivitäten in SharePoint Online und OneDrive for Business beschrieben.
Anzeigename
Vorgang
Beschreibung
Dateizugriff
FileAccessed
Der Benutzer oder das Systemkonto greift auf eine Datei zu. Sobald ein Benutzer auf eine Datei zugreift, wird das FileAccessed-Ereignis für denselben Benutzer für dieselbe Datei für die nächsten fünf Minuten nicht erneut protokolliert.
(kein)
FileAccessedExtended
Dies bezieht sich auf die Aktivität "Dateizugriff" (FileAccessed). Wenn dieselbe Person während eines längeren Zeitraums (bis zu drei Stunden) ständig auf eine Datei zugreift, wird ein FileAccessedExtended-Ereignis protokolliert.
Die Protokollierung von FileAccessedExtended-Ereignissen dient dazu, die Anzahl von FileAccessed-Ereignissen zu verringern, die beim ständigen Zugriff auf eine Datei protokolliert werden. Auf diese Weise lässt sich der Stördatenverkehr von mehreren FileAccessed-Einträgen besser reduzieren, bei denen die Benutzeraktivität im Wesentlichen identisch ist, sodass Sie sich auf das ursprüngliche (und wichtigere) FileAccessed-Ereignis konzentrieren können.
Geänderte Aufbewahrungsbezeichnung für eine Datei
ComplianceSettingChanged
Eine Aufbewahrungsbezeichnung wurde auf ein Dokument angewendet oder daraus entfernt. Dieses Ereignis wird ausgelöst, wenn eine Aufbewahrungsbezeichnung manuell oder automatisch auf eine Nachricht angewendet wird.
Datensatzstatus in "gesperrt" geändert
LockRecord
Der Datensatzstatus einer Aufbewahrungsbezeichnung, die ein Dokument als Datensatz klassifiziert, wurde gesperrt. Dies bedeutet, dass das Dokument nicht geändert oder gelöscht werden kann. Nur Benutzer, denen mindestens die Berechtigung „Mitwirkender“ für eine Website zugewiesen ist, können den Datensatzstatus eines Dokuments ändern.
Datensatzstatus in "nicht gesperrt" geändert
UnlockRecord
Der Datensatzstatus einer Aufbewahrungsbezeichnung, die ein Dokument als Datensatz klassifiziert, wurde entsperrt. Dies bedeutet, dass das Dokument geändert oder gelöscht werden kann. Nur Benutzer, denen mindestens die Berechtigung „Mitwirkender“ für eine Website zugewiesen ist, können den Datensatzstatus eines Dokuments ändern.
Datei eingecheckt
FileCheckedIn
Der Benutzer checkt ein Dokument ein, das er aus einer Dokumentbibliothek ausgecheckt hat.
Datei ausgecheckt
FileCheckedOut
Der Benutzer checkt ein Dokument aus, das sich in einer Dokumentbibliothek befindet. Benutzer können alle Dokumente, die für sie freigegeben wurden, auschecken oder ändern.
Datei kopiert
FileCopied
Der Benutzer kopiert ein Dokument von einer Website. Die kopierte Datei kann in einem anderen Ordner auf der Website gespeichert werden.
Datei gelöscht
FileDeleted
Der Benutzer löscht ein Dokument von einer Website.
Datei aus Papierkorb gelöscht
FileDeletedFirstStageRecycleBin
Der Benutzer löscht eine Datei aus dem Papierkorb einer Website.
Datei aus endgültigem Papierkorb gelöscht
FileDeletedSecondStageRecycleBin
Der Benutzer löscht eine Datei aus dem endgültigen Papierkorb einer Website.
Gelöschte Datei als Datensatz gekennzeichnet
RecordDelete
Ein als Datensatz gekennzeichnetes Dokument oder eine als Datensatz gekennzeichnete E-Mail wurde gelöscht. Ein Element wird als Datensatz betrachtet, wenn eine Aufbewahrungsbezeichnung, die Elemente als Datensatz kennzeichnet, auf das Element angewendet wird.
Konflikt in Bezug auf die Vertraulichkeitskennzeichnung eines Dokuments
DocumentSensitivityMismatchDetected
Der Benutzer lädt ein Dokument auf eine Website hoch, die mit einer Vertraulichkeitsbezeichnung geschützt ist, und das Dokument weist eine Vertraulichkeitsbezeichnung mit höherer Priorität als die Vertraulichkeitsbezeichnung der Website auf. So wird beispielsweise ein Dokument, das als vertraulich bezeichnet wird, auf eine Website hochgeladen, die mit "Allgemein" bezeichnet ist.
Dieses Ereignis wird nicht ausgelöst, wenn die auf ein Dokument angewendete Vertraulichkeitsbezeichnung eine niedrigere Priorität hat als die auf die Website angewendete Vertraulichkeitsbezeichnung. So wird beispielsweise ein Dokument, das als Allgemein bezeichnet wird, auf eine Website hochgeladen, die mit Vertraulich bezeichnet ist. Weitere Informationen über die Priorität von Vertraulichkeitsbezeichnungen finden Sie unter Priorität der Bezeichnungen (Reihenfolge wesentlich).
Malware in einer Datei erkannt
FileMalwareDetected
Der SharePoint-Virenschutz erkennt Schadsoftware in einer Datei.
Auschecken einer Datei verworfen
FileCheckOutDiscarded
Der Benutzer verwirft (oder rückgängig) eine ausgecheckte Datei. Das bedeutet, dass alle Änderungen, die beim Auschecken an der Datei vorgenommen wurden, verworfen und nicht in der Version des Dokuments in der Dokumentbibliothek gespeichert werden.
Datei heruntergeladen
FileDownloaded
Der Benutzer lädt ein Dokument von einer Website herunter.
Datei geändert
FileModified
Der Benutzer oder das Systemkonto ändert den Inhalt oder die Eigenschaften eines Dokuments auf einer Website. Das System wartet fünf Minuten, bevor ein anderes FileModified-Ereignis protokolliert wird, wenn derselbe Benutzer den Inhalt oder die Eigenschaften desselben Dokuments ändert.
(keine)
FileModifiedExtended
Dies bezieht sich auf die Aktivität "Datei geändert" (FileModified). Wenn dieselbe Person während eines längeren Zeitraums (bis zu 3 Stunden) eine Datei ständig ändert, wird ein FileModifiedExtended-Ereignis protokolliert.
Die Protokollierung von FileModifiedExtended-Ereignissen dient dazu, die Anzahl von FileModified-Ereignissen zu verringern, die bei ständiger Änderung einer Datei protokolliert werden. Auf diese Weise lässt sich der Stördatenverkehr von mehreren FileModified-Einträgen besser reduzieren, bei denen die Benutzeraktivität im Wesentlichen identisch ist, sodass Sie sich auf das ursprüngliche (und wichtigere) FileModified-Ereignis konzentrieren können.
Datei verschoben
FileMoved
Der Benutzer verschiebt ein Dokument von seinem aktuellen Speicherort auf einer Website an einen neuen Speicherort.
(keine)
FilePreviewed
Ein Benutzer zeigt eine Vorschau einer Datei auf einer SharePoint- oder OneDrive for Business-Website an. Diese Ereignisse treten in der Regel in großem Umfang basierend auf einer einzelnen Aktivität auf, z. B. der Anzeige einer Bildergalerie.
Suchabfrage durchgeführt
SearchQueryPerformed
Der Benutzer oder das Systemkonto nimmt eine Suche auf einer SharePoint- oder OneDrive for Business-Website vor. Zu den gängigen Szenarien, in denen ein Dienstkonto eine Suchabfrage ausführt, gehören das Anwenden einer eDiscovery-Aufbewahrungs- und Aufbewahrungsrichtlinie auf Websites und OneDrive-Konten sowie das automatische Anwenden von Aufbewahrungs- oder Vertraulichkeitsbezeichnungen auf Websiteinhalte. Informationen zum Aktivieren der Protokollierung für diese Aktivität finden Sie unter Erste Schritte mit Überwachungslösungen.
Eine Datei in den Papierkorb verschoben
FileRecycled
Der Benutzer verschiebt eine Datei in den SharePoint-Papierkorb.
Ein Ordner in den Papierkorb verschoben
FolderRecycled
Der Benutzer verschiebt einen Ordner in den SharePoint-Papierkorb.
Alle Nebenversionen einer Datei in den Papierkorb verschoben
FileVersionsAllMinorsRecycled
Benutzer löscht alle Nebenversionen aus dem Versionsverlauf einer Datei. Die gelöschten Versionen werden in den Papierkorb der Website verschoben.
Alle Versionen der Datei in den Papierkorb
FileVersionsAllRecycled
Benutzer löscht alle Versionen aus dem Versionsverlauf einer Datei. Die gelöschten Versionen werden in den Papierkorb der Website verschoben.
Dateiversion in den Papierkorb
FileVersionRecycled
Benutzer löscht eine Version aus dem Versionsverlauf einer Datei. Die gelöschte Version wird in den Papierkorb der Website verschoben.
Datei umbenannt
FileRenamed
Der Benutzer benennt ein Dokument um.
Datei wiederhergestellt
FileRestored
Der Benutzer stellt ein Dokument aus dem Papierkorb einer Website wieder her.
Datei hochgeladen
FileUploaded
Der Benutzer lädt ein Dokument in einen Ordner auf einer Website hoch.
Seite angezeigt
PageViewed
Der Benutzer zeigt eine Seite auf einer Website an. Dieser Vorgang schließt nicht das Verwenden eines Webbrowsers zum Anzeigen von in Dokumentbibliotheken gespeicherten Dateien ein. Sobald ein Benutzer eine Seite anzeigt, wird das PageViewed-Ereignis für denselben Benutzer für dieselbe Seite für die nächsten fünf Minuten nicht erneut protokolliert.
(keine)
PageViewedExtended
Dies bezieht sich auf die Aktivität "Seite angezeigt" (PageViewed). Wenn dieselbe Person während eines längeren Zeitraums (bis zu 3 Stunden) eine Webseite ständig anzeigt, wird ein PageViewedExtended-Ereignis protokolliert.
Die Protokollierung von PageViewedExtended-Ereignissen dient dazu, die Anzahl von PageViewed-Ereignissen zu verringern, die beim ständigen Anzeigen einer Seite protokolliert werden. Auf diese Weise lässt sich der Stördatenverkehr von mehreren PageViewed-Einträgen besser reduzieren, bei denen die Benutzeraktivität im Wesentlichen identisch ist, sodass Sie sich auf das ursprüngliche (und wichtigere) PageViewed-Ereignis konzentrieren können.
Aufruf wird vom Client signalisiert
ClientViewSignaled
Ein Benutzerclient (z. B. eine Website oder einer mobile App) hat signalisiert, dass die angegebene Seite vom Benutzer aufgerufen wurde. Diese Aktivität wird häufig nach einem PagePrefetched-Ereignis für eine Seite protokolliert.
Hinweis: Da ClientViewSignaled-Ereignisse vom Client und nicht vom Server signalisiert werden, ist es möglich, dass das Ereignis nicht vom Server protokolliert wird und daher im Überwachungsprotokoll nicht auftaucht. Es ist auch möglich, dass die Informationen im Überwachungsdatensatz möglicherweise nicht zuverlässig sind. Da die Identität des Benutzers aber durch das Token überprüft wird, mit dem das Signal erstellt wurde, ist die im entsprechenden Überwachungsdatensatz aufgelistete Identität des Benutzers korrekt. Das System wartet fünf Minuten, bevor es dasselbe Ereignis protokolliert, wenn der Client desselben Benutzers signalisiert, dass die Seite erneut vom Benutzer angezeigt wurde.
(keine)
PagePrefetched
Der Client eines Benutzers (beispielsweise eine Website oder eine Mobile App) hat die angegebene Seite angefordert, um die Leistung zu verbessern, wenn der Benutzer zu ihr navigiert. Dieses Ereignis wird protokolliert, um anzugeben, dass der Seiteninhalt für den Client des Benutzers bereitgestellt wurden. Dieses Ereignis ist kein definitiver Hinweis darauf, dass der Benutzer zu der Seite navigiert ist.
Wenn der Seiteninhalt vom Client (gemäß der Anforderung des Benutzers) gerendert wird, sollte ein ClientViewSignaled-Ereignis generiert werden. Nicht alle Clients unterstützen die Angabe eines Vorabrufs, und daher können einige vorab abgerufene Aktivitäten stattdessen als PageViewed-Ereignisse protokolliert werden.
Häufig gestellte Fragen zu den Ereignissen „FileAccessed“ und „FilePreviewed“
Könnten Nicht-Benutzer-Aktivitäten FilePreviewed-Überwachungsdatensätze auslösen, die einen Benutzer-Agent wie „OneDriveMpc-Transform_Thumbnail“ enthalten?
Szenarien, in denen Nichtbenutzeraktionen Ereignisse wie diese generieren, sind uns nicht bekannt. Benutzeraktionen wie das Öffnen eines Benutzerprofils Karte (durch Auswählen des Namens oder der E-Mail-Adresse in einer Nachricht in Outlook im Web) würden ähnliche Ereignisse generieren.
Werden Aufrufe von „OneDriveMpc-Transform_Thumbnail“ immer absichtlich vom Benutzer ausgelöst?
Nein. Ähnliche Ereignisse können jedoch als Ergebnis des Browser-Vorabrufs protokolliert werden.
Wenn wir ein FilePreviewed-Ereignis sehen, das von einer bei Microsoft registrierten IP-Adresse stammt, bedeutet dies, dass die Vorschau auf dem Bildschirm des Benutzergeräts angezeigt wurde?
Nein. Das Ereignis wurde möglicherweise als Ergebnis des Vorabrufs des Browsers protokolliert.
Gibt es Szenarien, in denen ein Benutzer, der die Vorschau eines Dokuments anzeigt, FileAccessed-Ereignisse generiert?
Sowohl das „FilePreviewed“- als auch das „FileAccessed“-Ereignis weist darauf hin, dass der Aufruf eines Benutzers das Lesen der Datei ausgelöst hat (oder das Lesen des Renderings einer Miniaturansicht der Datei). Diese Ereignisse sind zwar dazu gedacht, sich an der Vorschau- bzw. Zugriffs-Absicht zu orientieren, doch die Ereignisunterscheidung ist keine Garantie für die Absicht des Benutzers.
Der app@sharepoint Benutzer in Überwachungsdatensätzen
Ihnen ist möglicherweise aufgefallen, dass in Überwachungsdatensätzen für einige Dateiaktivitäten (und andere SharePoint-bezogene Aktivitäten) der Benutzer, der die Aktivität ausgeführt hat (in den Feldern "Benutzer" und "Benutzer-ID" aufgeführt), als "app@sharepoint" angegeben ist. Dies weist darauf hin, dass es sich bei dem "Benutzer", der die Aktivität ausgeführt hat, um eine Anwendung handelt. In diesem Fall hatte die Anwendung in SharePoint die Berechtigung erhalten, organisationsweite Aktionen (z. B. das Durchsuchen einer SharePoint-Website oder eines OneDrive-Kontos) im Auftrag eines Benutzers, Administrators oder Dienstes auszuführen. Dieser Vorgang zur Erteilung von Berechtigungen für eine Anwendung heißt "Nur SharePoint-App-Zugriff". Dies weist darauf hin, dass die Authentifizierung, die SharePoint zum Ausführen einer Aktion präsentiert wurde, von einer Anwendung anstelle eines Benutzers vorgenommen wurde. Dies ist der Grund, warum in manchen Überwachungsdatensätzen der "app@sharepoint"-Benutzer angegeben wird. Weitere Informationen finden Sie unter Gewähren des "Nur SharePoint-App"-Zugriffs.
"app@sharepoint" wird beispielsweise häufig als Benutzer bei Ereignissen wie ausgeführte Suchabfragen und Dateizugriffe angegeben. Der Grund dafür ist, dass eine Anwendung mit "Nur SharePoint-App"-Zugriff in Ihrer Organisation Suchabfragen ausführt und auf Dateien zugreift, wenn Aufbewahrungsrichtlinien auf Websites und OneDrive-Konten angewendet werden.
Nachstehend sind einige weitere Szenarien aufgeführt, in denen "app@sharepoint" als Benutzer, der eine Aktivität ausgeführt hat, in einem Überwachungsprotokoll angegeben werden kann:
Microsoft 365-Gruppen. Wenn ein Benutzer oder Administrator eine neue Gruppe erstellt, werden Überwachungsdatensätze für die Erstellung einer Websitesammlung, das Aktualisieren von Listen und das Hinzufügen von Mitgliedern zu einer SharePoint-Gruppe generiert. Diese Aufgaben werden von einer Anwendung im Namen des Benutzers ausgeführt, der die Gruppe erstellt hat.
Microsoft Teams: Bei der Erstellung eines Teams werden ähnlich wie bei Microsoft 365-Gruppen Überwachungsdatensätze für die Erstellung einer Websitesammlung, das Aktualisieren von Listen und das Hinzufügen von Mitgliedern zu einer SharePoint-Gruppe generiert.
Kompatibilitätsfeatures. Wenn ein Administrator Compliancefeatures implementiert, z. B. Aufbewahrungsrichtlinien, eDiscovery-Haltebereiche und automatisches Anwenden von Vertraulichkeitsbezeichnungen.
In diesen und weiteren Szenarios werden Sie außerdem feststellen, dass mehrere Überwachungsdatensätze mit "app@sharepoint" als angegebenen Benutzer innerhalb eines sehr kurzen Zeitrahmens erstellt wurden, häufig innerhalb weniger Sekunden. Dies bedeutet ebenfalls, dass sie wahrscheinlich von demselben vom benutzerinitiierten Vorgang ausgelöst wurden. Die Felder "ApplicationDisplayName" und "EventData" im Überwachungsdatensatz helfen Ihnen möglicherweise, das Szenario oder den Dienst zu ermitteln, durch das/den dieses Ereignis ausgelöst wurde.
Ordneraktivitäten
In der folgenden Tabelle sind die Ordneraktivitäten in SharePoint Online und OneDrive for Business beschrieben. Wie bereits erläutert, geben Überwachungsdatensätze für einige SharePoint-Aktivitäten an, app@sharepoint Benutzer die Aktivität im Namen des Benutzers oder Administrators ausgeführt hat, der die Aktion initiiert hat. Weitere Informationen finden Sie unter Der "app@sharepoint"-Benutzer in Überwachungsdatensätzen.
Anzeigename
Vorgang
Beschreibung
Ordner kopiert
FolderCopied
Ein Benutzer in SharePoint oder OneDrive for Business kopiert einen Ordner von einer Website zu einer anderen.
Ordner erstellt
FolderCreated
Der Benutzer erstellt einen Ordner auf einer Website.
Ordner gelöscht
FolderDeleted
Der Benutzer löscht einen Ordner von einer Website.
Ordner aus Papierkorb gelöscht
FolderDeletedFirstStageRecycleBin
Der Benutzer löscht einen Ordner aus dem Papierkorb auf einer Website.
Ordner aus endgültigem Papierkorb gelöscht
FolderDeletedSecondStageRecycleBin
Der Benutzer löscht einen Ordner aus dem endgültigen Papierkorb auf einer Website.
Ordner geändert
FolderModified
Der Benutzer ändert einen Ordner auf einer Website. Dies schließt das Ändern der Ordnermetadaten, beispielsweise das Ändern von Tags und Eigenschaften, ein.
Ordner verschoben
FolderMoved
Der Benutzer verschiebt einen Ordner an eine andere Position auf einer Website.
Ordner umbenannt
FolderRenamed
Der Benutzer benennt einen Ordner auf einer Website um.
Ordner wiederhergestellt
FolderRestored
Der Benutzer stellt einen gelöschten Ordner aus dem Papierkorb auf einer Website wieder her.
Informationsbarrierenaktivitäten
In der folgenden Tabelle sind die Aktivitäten in Informationsbarrieren aufgeführt, die im Microsoft 365-Überwachungsprotokoll protokolliert werden. Weitere Informationen zu Informationsbarrieren finden Sie unter Weitere Informationen zu Informationsbarrieren in Microsoft 365.
Wichtig
Microsoft empfiehlt die Verwendung von Rollen mit den wenigsten Berechtigungen. Die Minimierung der Anzahl von Benutzern mit der Rolle "Globaler Administrator" trägt zur Verbesserung der Sicherheit für Ihre organization bei. Erfahren Sie mehr über Microsoft Purview-Rollen und -Berechtigungen.
Anzeigename
Vorgang
Beschreibung
AppBypassInformationBarrier-Einstellung für den Mandanten geändert
AppBypassInformationBarrier
Ein SharePoint- oder globaler Administrator hat den Zugriff auf Apps für SharePoint-Websites geändert.
Angewendeter Informationsbarrieremodus auf die Website
SiteIBModeSet
Ein SharePoint- oder globaler Administrator hat einen Modus auf die Website angewendet.
Angewendete Segmente auf die Website
SiteIBSegmentsSet
Ein SharePoint-Administrator, ein globaler Administrator oder ein Websitebesitzer hat einer Website ein oder mehrere Informationsbarrierensegmente hinzugefügt.
Geänderter Informationsbarrieremodus der Website
SiteIBModeChanged
Ein SharePoint- oder globaler Administrator hat den Modus der Website aktualisiert.
Geänderte Segmente der Website
SiteIBSegmentsChanged
Ein SharePoint-Administrator oder ein globaler Administrator hat ein oder mehrere Informationsbarrierensegmente für eine Website geändert.
Deaktivierte Informationsbarrieren für SharePoint und OneDrive
SPOIBIsDisabled
Ein SharePoint- oder globaler Administrator hat Informationsbarrieren für SharePoint und OneDrive im organization deaktiviert.
Aktivierte Informationsbarrieren für SharePoint und OneDrive
SPOIBIsEnabled
Ein SharePoint- oder globaler Administrator hat Informationsbarrieren für SharePoint und OneDrive im organization deaktiviert.
Bericht zu Erkenntnissen zu Informationsbarrieren abgeschlossen
InformationBarriersInsightsReportCompleted
Das System schließt die Erstellung des Berichts zu Erkenntnissen zu Informationsbarrieren ab.
Ein Administrator fragt den Bericht zu Erkenntnissen zu Informationsbarrieren für SharePoint-Websites ab.
Segment vom Standort entfernt
SiteIBSegmentsRemoved
Ein SharePoint-Administrator oder ein globaler Administrator hat ein oder mehrere Informationsbarrierensegmente aus einer Website gelöscht.
Microsoft 365 Apps Admin Services-Cloudupdateaktivitäten
In der folgenden Tabelle sind die Aktivitäten für Konfigurationsänderungen und ausgelöste Aktionen im CloudUpdatedienst aufgeführt, die im Microsoft 365-Überwachungsprotokoll erfasst werden.
Anzeigename
Vorgang
Beschreibung
Gerätekonfiguration aktualisiert
updateddeviceconfiguration
Eine Aktion für ein Gerät, das von CloudUpdate verwaltet wird, wurde ausgelöst. Dies umfasst das Auslösen eines Rollbacks, das Fortsetzen eines Rollbacks eines Geräts oder das Ändern des Updatekanals.
Profilkonfiguration aktualisiert
updatedprofileconfiguration
Die Konfiguration eines Cloudupdateprofils wurde geändert. Dies umfasst Änderungen am Profilstatus, festlegen eines Stichtags, Aktivierung der Updateüberprüfung sowie konfigurierte Wellen und Wellenverzögerung.
Mandantenkonfiguration aktualisiert
updatedtenantconfiguration
Die mandantenweite Konfiguration des Cloudupdates wurde geändert. Dies umfasst das Ändern von Ausschlüssen, Ausschlussfenstern und das Generieren eines neuen Mandantenzuordnungsschlüssels (Tenant Association Key, TAK).
Microsoft 365 Apps Admin Services-Cloudrichtlinienaktivitäten
In der folgenden Tabelle sind die Aktivitäten für Richtlinienkonfigurationsänderungen im Cloudrichtliniendienst aufgeführt, die im Microsoft 365-Überwachungsprotokoll erfasst werden.
Anzeigename
Vorgang
Beschreibung
Richtlinienkonfiguration erstellt
CreatedPolicyConfig
Eine neue Richtlinienkonfiguration wurde erstellt.
Konfiguration der gelöschten Richtlinie
DeletedPolicyConfig
Eine Richtlinienkonfiguration wurde gelöscht.
Aktualisierte Richtlinienkonfiguration
UpdatedPolicyConfig
Eine vorhandene Richtlinienkonfiguration wurde aktualisiert, z. B. durch Hinzufügen, Ändern oder Entfernen von Richtlinieneinstellungen oder durch Ändern des Namens, der Beschreibung oder des Bereichs der Richtlinienkonfiguration.
Aktualisierte Richtlinienkonfigurationspriorität
UpdatedPolicyConfigPriority
Die Priorität einer Richtlinienkonfiguration wurde geändert.
Microsoft 365-Backup Aktivitäten
In der folgenden Tabelle sind die Aktivitäten in Microsoft 365-Backup aufgeführt, die im Microsoft 365-Überwachungsprotokoll protokolliert werden. Microsoft 365-Backup soll sicherstellen, dass die Daten Ihrer organization immer geschützt und leicht wiederherstellbar sind. Weitere Informationen zu Microsoft 365-Backup finden Sie unter Übersicht über Microsoft 365-Backup.
Anzeigename
Vorgang
Beschreibung
Aktivieren einer Sicherungsrichtlinie
BackupPolicyActivated
Eine Microsoft 365-Backup Richtlinie wird aus einem inaktiven Zustand aktiviert.
Aktivierte Entwurfswiederherstellung
RestoreTaskActivated
Ein Entwurfswiederherstellungstask für Microsoft 365-Backup wird aktiviert. Es handelt sich um einen zeitintensiven Vorgang.
Sicherungselement erstellt
BackupItemAdded
Ein oder mehrere Sicherungselemente werden einer Microsoft 365-Backup Richtlinie hinzugefügt.
Sicherungselement entfernt
BackupItemRemoved
Ein oder mehrere Sicherungselemente werden aus einer Microsoft 365-Backup Richtlinie entfernt.
Abgeschlossene Wiederherstellungsaufgabe
RestoreTaskCompleted
Eine Wiederherstellungsaufgabe wird in Microsoft 365-Backup abgeschlossen.
Erstellter Entwurfswiederherstellungstask
DraftRestoreTaskCreated
Eine Wiederherstellungsaufgabe wird in Microsoft 365-Backup erstellt. Standardmäßig wird die Wiederherstellungsaufgabe als Entwurf erstellt.
Neue Sicherungsrichtlinie erstellt
NewBackupPolicyCreated
Eine neue Microsoft 365-Backup-Richtlinie wurde von einem globalen Admin erstellt. Standardmäßig wird eine Sicherungsrichtlinie in einem inaktiven Zustand erstellt.
Eine Sicherungsrichtlinie wurde gelöscht.
BackupPolicyDeleted
Eine Microsoft 365-Backup Richtlinie wird gelöscht.
Wiederherstellungsaufgabe "Entwurf" gelöscht
DraftRestoreTaskDeleted
Eine Entwurfswiederherstellung wird in Microsoft 365-Backup gelöscht.
Bearbeiten einer Sicherungsrichtlinie
BackupPolicyEdited
Eine Microsoft 365-Backup Richtlinie wird aktualisiert. Sicherungsrichtlinien werden durch eine der folgenden Aktionen aktualisiert:
1. Umbenennen der Richtlinie. 2. Fügen Sie mindestens eine Schutzeinheit hinzu. 3. Entfernen einer oder mehrerer Schutzeinheiten.
Wiederherstellungsaufgabe für bearbeiteten Entwurf
DraftRestoreTaskEdited
Eine Entwurfswiederherstellung wird in Microsoft 365-Backup bearbeitet.
Angehaltene Sicherungsrichtlinie
BackupPolicyPaused
Eine Microsoft 365-Backup Richtlinie wird im aktiven Zustand angehalten.
Programmgesteuertes Abrufen des Sicherungselements
GetBackupItem
Der Benutzer fordert die Schutzeinheit an, die programmgesteuert mit Microsoft 365-Backup gesichert wird.
Programmgesteuertes Abrufen von Details zur Sicherungsrichtlinie
ViewBackupPolicyDetails
Auf Details einer Microsoft 365-Backup Richtlinie wird programmgesteuert zugegriffen.
Programmgesteuertes Abrufen von Details zur Wiederherstellungsaufgabe
GetRestoreTaskDetails
Ein Benutzer fordert Details der Wiederherstellungsaufgabe anhand seines Bezeichners in Microsoft 365-Backup an.
Programmgesteuerte Liste aller Sicherungsrichtlinien
ListAllBackupPolicies
Ein Benutzer ruft programmgesteuert die Liste aller Sicherungsrichtlinien ab, die mithilfe von Microsoft 365-Backup gesichert wurden.
Programmgesteuerte Liste der Sicherungselemente in Sicherungsrichtlinien
ListAllBackupItemsInPolicies
Eine Liste aller Schutzeinheiten, die in einer Sicherungsrichtlinie in Microsoft 365-Backup vorhanden sind, wird programmgesteuert angefordert.
Programmgesteuertes Abrufen der Liste der Sicherungselemente im Mandanten
ListAllBackupItemsInTenant
Ein Benutzer ruft programmgesteuert eine Liste aller Schutzeinheiten im organization ab, die mithilfe von Microsoft 365-Backup gesichert wurden.
Programmgesteuertes Abrufen der Liste der Sicherungselemente in workload
ListAllBackupItemsInWorkload
Ein Benutzer erhält programmgesteuert eine Liste aller Schutzeinheiten in der Workload (SharePoint, OneDrive oder Exchange), die mithilfe von Microsoft 365-Backup gesichert wurden.
Programmgesteuertes Abrufen der Liste der Wiederherstellungselemente im Wiederherstellungstask
GetAllRestoreArtifactsInTask
Ein Benutzer ruft programmgesteuert alle Artefakte in einer Wiederherstellungsaufgabe in Microsoft 365-Backup ab.
Programmgesteuerte Liste der Wiederherstellungspunkte
ListAllRestorePoints
Ein Benutzer erhält programmgesteuert alle Wiederherstellungspunkte in Microsoft 365-Backup. Wiederherstellungspunkte stellen den Zeitstempel dar, wenn ein Artefakt geschützt ist (gemäß Schutzrichtlinie). Nur globale Administratoren haben Zugriff.
Programmgesteuerte Liste der Wiederherstellungsaufgaben
ListAllRestoreTasks
Ein Benutzer ruft programmgesteuert die Liste der vorhandenen Wiederherstellungssitzungen in Microsoft 365-Backup ab. Dies schließt die Wiederherstellungssitzung ein, die für jeden Diensttyp erstellt wird, der im organization registriert ist.
Wiederherstellen der Elementwiederherstellung abgeschlossen
BackupItemRestoreCompleted
Die Wiederherstellung eines Elements, das von Microsoft 365-Backup gesichert wurde, ist abgeschlossen.
Wiederherstellungselement wurde ausgelöst
BackupItemRestoreTriggered
Die Wiederherstellung wird für ein Element ausgelöst, das mit Microsoft 365-Backup gesichert wurde.
Microsoft Defender for Endpoint allgemeine Einstellungsaktivitäten
In der folgenden Tabelle sind die Aktivitäten für Microsoft Defender for Endpoint allgemeinen Einstellungen aufgeführt, die im Microsoft 365-Überwachungsprotokoll protokolliert werden. Weitere Informationen zu den Einstellungen Microsoft Defender for Endpoint finden Sie unter Konfigurieren allgemeiner Defender für Endpunkt-Einstellungen.
Um Microsoft Defender for Endpoint Aktivitäten anzuzeigen, muss das einheitliche Überwachungsprotokoll im Microsoft Defender XDR-Portal aktiviert sein. Weitere Informationen finden Sie unter Aktivieren des einheitlichen Überwachungsprotokolls.
Anzeigename
Vorgang
Beschreibung
Heruntergeladenes Offboardingpaket
DownloadOffboardingPkg
Das Paket zum Entfernen von Geräten aus Defender für Endpunkt wurde heruntergeladen.
Heruntergeladenes Onboardingpaket
DownloadOnboardingPkg
Das Paket für das Onboarding von Geräten in Defender für Endpunkt wurde heruntergeladen.
Geänderte Datenaufbewahrung
ChangeDataRetention
Die Datenaufbewahrungseinstellungen für Defender für Endpunkt wurden bearbeitet.
Festlegen erweiterter Features
SetAdvancedFeatures
Erweiterte Features in Defender für Endpunkt wurden geändert, sodass während eines Incidents präzisere Kontrollen möglich sind. Nur Einstellungen für erweiterte Features, die allgemein verfügbar sind, werden im Microsoft 365-Überwachungsprotokoll protokolliert.
Aktivitäten für Microsoft Defender for Endpoint Indikatoreinstellungen
In der folgenden Tabelle sind die Aktivitäten für Microsoft Defender for Endpoint Indikatoreinstellungen aufgeführt, die im Microsoft 365-Überwachungsprotokoll protokolliert werden. Weitere Informationen zu Microsoft Defender for Endpoint Indikatoren finden Sie unter Verwalten von Indikatoren.
Um Microsoft Defender for Endpoint Aktivitäten anzuzeigen, muss das einheitliche Überwachungsprotokoll im Microsoft Defender XDR-Portal aktiviert sein. Weitere Informationen finden Sie unter Aktivieren des einheitlichen Überwachungsprotokolls.
Anzeigename
Vorgang
Beschreibung
Indikator hinzugefügt
AddIndicator
Es wurde ein neuer Gefährdungsindikator erstellt, den Sie zum Nachverfolgen von Angriffen und Ereignissen verwenden können.
Bearbeiteter Indikator
EditIndicator
Es wurde ein Indikator für Gefährdung bearbeitet.
Gelöschter Indikator
DeleteIndicator
Ein Indikator der Kompromittierung wurde entfernt.
Aktivitäten für Microsoft Defender for Endpoint-Reaktionsaktionen
In der folgenden Tabelle sind die Aktivitäten für Microsoft Defender for Endpoint-Antwortaktionen aufgeführt, einschließlich Liveantworten, die im Microsoft 365-Überwachungsprotokoll protokolliert werden. Weitere Informationen zu Microsoft Defender for Endpoint Antwortaktionen finden Sie unter Ausführen von Antwortaktionen auf einem Gerät.
Um Microsoft Defender for Endpoint Aktivitäten anzuzeigen, muss das einheitliche Überwachungsprotokoll im Microsoft Defender XDR-Portal aktiviert sein. Weitere Informationen finden Sie unter Aktivieren des einheitlichen Überwachungsprotokolls.
Anzeigename
Vorgang
Beschreibung
Gesammeltes Untersuchungspaket
CollectInvestigationPackage
Gesammelte Informationen zu einem Gerät, das verwendet wird, um Angriffstools und -techniken zu verstehen.
Antivirusscan ausgeführt
RunAntiVirusScan
Microsoft Defender Antivirus-Überprüfung auf einem Gerät ausgeführt.
Eingeschränkte App-Ausführung
RestrictAppExecution
Verhindern, dass eine schädliche App ausgeführt wird.
App-Einschränkungen entfernt
RemoveAppRestrictions
Zulassen, dass eine App ausgeführt wird.
Isoliertes Gerät
IsolateDevice
Isolierte ein Gerät aus dem Netzwerk, um die Ausbreitung von Angriffen zu verhindern.
Aus der Isolation freigegeben
ReleaseFromIsolation
Ein isoliertes Gerät wurde dem Netzwerk wieder hinzugefügt.
Beendete und unter Quarantäne gestellte Datei
StopAndQuarantineFile
Verdächtige Datei zur weiteren Analyse unter Quarantäne stellen.
Datei heruntergeladen
DownloadFile
Eine verdächtige Datei zur weiteren Untersuchung heruntergeladen.
Offboarded device (Offboarded Device)
DeviceOffBoarding
Ein Gerät wurde aus Defender für Endpunkt entfernt.
Ausgeführte Liveantwort-API
RunLiveResponseApi
Öffnete eine Liveantwortsitzung über einen API-Aufruf und öffnete eine Remoteshell auf einem Gerät.
Gesammelte Protokolle
LogsCollection
Gesammelte Protokollinformationen zu Defender für Endpunkt.
Link "Liveantwortdatei abrufen" ausgeführt
LiveResponseGetFile
Öffnete eine Liveantwortsitzung und öffnete eine Remoteshell auf einem Gerät.
Liveantwortsitzung ausgeführt
RunLiveResponseSession
Führte eine Liveantwortsitzung aus und öffnete eine Remoteshell auf einem Gerät.
Microsoft Defender for Endpoint von Einstellungen für Rollen
Um Microsoft Defender for Endpoint Aktivitäten anzuzeigen, muss das einheitliche Überwachungsprotokoll im Microsoft Defender XDR-Portal aktiviert sein. Weitere Informationen finden Sie unter Aktivieren des einheitlichen Überwachungsprotokolls.
Anzeigename
Vorgang
Beschreibung
AddRole
Rolle hinzugefügt
Neue Sicherheitsrolle und -berechtigungen hinzugefügt.
EditRole
Bearbeitete Rolle
Bearbeitete Sicherheitsrollen und Berechtigungen.
DeleteRole
Gelöschte Rolle
Sicherheitsrollen und -berechtigungen wurden entfernt.
Ein Administrator hat Defender Experts-Analysten mindestens eine Rollenberechtigung erteilt, um Vorfälle zu untersuchen oder Bedrohungen zu beheben.
Defender Experts-Analystenberechtigung geändert
DefenderExpertsAnalystPermissionModified
Ein Administrator hat die Rollenberechtigungen für Defender Experts-Analysten geändert, um Vorfälle zu untersuchen oder Bedrohungen zu beheben.
Microsoft Defender for Identity Aktivitäten
In der folgenden Tabelle sind die Aktivitäten für Microsoft Defender for Identity aufgeführt, die im Microsoft 365-Überwachungsprotokoll protokolliert werden.
Um Microsoft Defender for Identity Aktivitäten anzuzeigen, muss das einheitliche Überwachungsprotokoll im Microsoft Defender XDR-Portal aktiviert sein. Weitere Informationen finden Sie unter Aktivieren des einheitlichen Überwachungsprotokolls.
Anzeigename
Vorgang
Beschreibung
Aktualisierte Entitätstags
TaggingConfigurationUpdated
Ein Tag wurde einer Entität hinzugefügt oder daraus entfernt.
Konfiguration von Ausschlüssen hinzugefügt
ExclusionConfigurationAdded
Ein globaler Ausschluss wurde für eine Warnung oder für eine Entität hinzugefügt.
Konfiguration von Ausschlüssen aktualisiert
ExclusionConfigurationUpdated
Ein globaler Ausschluss wurde für eine Warnung oder für eine Entität aktualisiert.
Konfiguration gelöschter Ausschlüsse
ExclusionConfigurationDeleted
Ein globaler Ausschluss wurde für eine Warnung oder für eine Entität gelöscht.
Konfiguration des Warnungsschwellenwerts aktualisiert
WorkspaceAlertThresholdLevelUpdated
Die Konfiguration der Schwellenwerte für Warnungen wurde aktualisiert.
Heruntergeladene Sicherheitswarnung Excel
AlertExcelDownloaded
Die detaillierte Excel-Datei einer Warnung wurde heruntergeladen.
Wartungsaktion hinzugefügt
RemediationActionAdded
Der Warteschlange wurde eine Korrekturaktion hinzugefügt.
Aktualisierte Wartungsaktion
RemediationActionUpdated
Eine Korrekturaktion wurde abgeschlossen.
Aktualisierte Sensorkonfiguration
SensorConfigurationUpdated
Die Konfiguration eines Sensors wurde aktualisiert.
Sensor hinzugefügt
SensorCreated
Ein neuer Sensor wurde hinzugefügt.
Sensor entfernt
SensorDeleted
Ein Sensor wurde gelöscht.
Abgerufener Sensorbereitstellungsschlüssel
SensorDeploymentAccessKeyReceived
Der Zugriffsschlüssel der Sensoren wurde abgerufen.
Bereitstellungsschlüssel für den neu generierten Sensor
SensorDeploymentAccessKeyUpdated
Der Sensorzugriffsschlüssel wurde neu generiert.
Aktualisierter Sensoraktivierungsmodus
SensorActivationMethodConfigurationUpdated
Der Aktivierungsmodus der Sensoren wurde geändert.
Heruntergeladene Domänencontrollerabdeckung in Excel
DomainControllerCoverageExcelDownloaded
Die Excel-Datei für die Domänencontrollerabdeckung wurde heruntergeladen.
Konfiguration des Verzeichnisdienstkontos aktualisiert
DirectoryServicesAccountConfigurationUpdated
Die festgelegten Verzeichnisdienstkonten wurden geändert.
Konfiguration der Wartungsaktion aktualisiert
RemediationActionConfigurationUpdated
Der Festgelegte Aktionskonten verwalten wurde geändert.
Aktualisierte Entitätswartungskonfiguration
EntityRemediatorConfigurationUpdated
Der Modus Aktionskonten verwalten wurde geändert.
Aktualisiertes Integritätsproblem
MonitoringAlertUpdated
Ein Integritätsproblem wurde geändert.
Bericht heruntergeladen
BerichtHerunterladen
Ein Bericht wurde heruntergeladen.
Aktualisierte Reporterkonfiguration
ReporterConfigurationUpdated
Die Planung eines Berichts wurde geändert.
Aktualisierte Syslog-Weiterleitungskonfiguration
SyslogServiceConfigurationUpdated
Die Syslog-Weiterleitungskonfiguration wurde geändert.
Die Benachrichtigungskonfiguration für Sicherheitswarnungen oder Integritätsprobleme wurde geändert.
Empfänger von Warnungsbenachrichtigungen hinzugefügt
AlertNotificationsRecipientAdded
Der Benachrichtigungskonfiguration für Sicherheitswarnungen wurde ein Empfänger hinzugefügt.
Empfänger von Benachrichtigungen für gelöschte Warnungen
AlertNotificationsRecipientDeleted
Ein Empfänger wurde aus der Benachrichtigungskonfiguration für Sicherheitswarnungen entfernt.
Empfänger der Benachrichtigung über Integritätsprobleme hinzugefügt
MonitoringAlertNotificationRecipientAdded
Der Benachrichtigungskonfiguration für Integritätsprobleme wurde ein Empfänger hinzugefügt.
Benachrichtigungsempfänger für gelöschte Integritätsprobleme
MonitoringAlertNotificationRecipientDeleted
Ein Empfänger wurde aus der Benachrichtigungskonfiguration für Integritätsprobleme entfernt.
Aktualisierte VPN-Konfiguration
VpnConfigurationUpdated
Die VPN-Konfiguration (Radius-Buchhaltung) wurde geändert.
Aktualisierte Einheitliche RBAC-Konfiguration
URbacAuthorizationStatusChanged
Die Konfiguration der einheitlichen rollenbasierten Access Control wurde geändert.
Erstellter Arbeitsbereich
WorkspaceCreated
Der Arbeitsbereich wurde erstellt.
Gelöschter Arbeitsbereich
Arbeitsbereich Gelöscht
Der Arbeitsbereich wurde gelöscht.
Microsoft Defender XDR benutzerdefinierter Erkennungsaktivitäten
In der folgenden Tabelle sind die benutzerdefinierten Erkennungsaktivitäten für Microsoft Defender XDR aufgeführt, die im Microsoft 365-Überwachungsprotokoll protokolliert werden. Weitere Informationen zu Microsoft Defender XDR benutzerdefinierten Erkennungen finden Sie unter Erstellen und Verwalten benutzerdefinierter Erkennungsregeln.
Um Microsoft Defender XDR Aktivitäten anzuzeigen, muss das einheitliche Überwachungsprotokoll im Microsoft Defender XDR-Portal aktiviert sein. Weitere Informationen finden Sie unter Aktivieren des einheitlichen Überwachungsprotokolls.
Anzeigename
Vorgang
Beschreibung
Benutzerdefinierte Erkennungsregel erstellt
CreateCustomDetection
Eine neue benutzerdefinierte Erkennungsregel wurde erstellt.
Bearbeitete benutzerdefinierte Erkennungsregel
EditCustomDetection
Eine benutzerdefinierte Erkennungsregel wurde geändert.
Geänderte benutzerdefinierte Erkennungsregel status
ChangeCustomDetectionRuleStatus
Eine benutzerdefinierte Erkennungsregel wurde deaktiviert oder aktiviert.
Benutzerdefinierte Erkennungsregel ausgeführt
RunCustomDetection
Eine benutzerdefinierte Erkennungsregel wurde manuell ausgeführt.
Benutzerdefinierte Erkennungsregel wurde gelöscht.
DeleteCustomDetection
Eine benutzerdefinierte Erkennungsregel wurde entfernt.
Microsoft Defender XDR Incidentaktivitäten
In der folgenden Tabelle sind die Incidentaktivitäten für Microsoft Defender XDR aufgeführt, die im Microsoft 365-Überwachungsprotokoll protokolliert werden. Weitere Informationen zu Incidents in Microsoft Defender XDR finden Sie unter Übersicht über Vorfälle.
Um Microsoft Defender XDR Aktivitäten anzuzeigen, muss das einheitliche Überwachungsprotokoll im Microsoft Defender XDR-Portal aktiviert sein. Weitere Informationen finden Sie unter Aktivieren des einheitlichen Überwachungsprotokolls.
Anzeigename
Vorgang
Beschreibung
Kommentar zu Incident hinzugefügt
AddCommentToIncident.
Kommentar zum Incident hinzugefügt.
Dem Incident zugewiesener Benutzer
AssignUserToIncident
Dem Incident zugewiesener Benutzer.
Nicht zugewiesener Benutzer zum Incident
UnAssignUserFromIncident
Nicht zugewiesener Benutzer zum Incident.
Aktualisierte incidents status
UpdateIncidentStatus
Aktualisierte incidents status.
Bearbeiten der Incidentklassifizierung
EditIncidentClassification
Bearbeiten der Incidentklassifizierung.
Tags zu Incident hinzugefügt
AddTagsToIncident
Dem Incident wurden Tags hinzugefügt.
Tags aus Incident entfernt
RemoveTagsFromIncident
Tags aus incident entfernt.
Aktivitäten von Microsoft Defender XDR Unterdrückungsregeln
In der folgenden Tabelle sind die Aktivitäten für Unterdrückungsregeln für Microsoft Defender XDR aufgeführt, die im Microsoft 365-Überwachungsprotokoll protokolliert werden. Weitere Informationen zu Unterdrückungsregeln in Microsoft Defender XDR finden Sie unter Verwalten von Unterdrückungsregeln.
Um Microsoft Defender XDR Aktivitäten anzuzeigen, muss das einheitliche Überwachungsprotokoll im Microsoft Defender XDR-Portal aktiviert sein. Weitere Informationen finden Sie unter Aktivieren des einheitlichen Überwachungsprotokolls.
Anzeigename
Vorgang
Beschreibung
Erstellte Unterdrückungsregel
CreateSuppressionRule
Warnungsunterdrückungsregel wurde erstellt.
Bearbeitete Unterdrückungsregel
EditSuppressionRule
Warnungsunterdrückungsregel gelöscht.
Aktivierte Unterdrückungsregel
EnableSuppressionRule
Warnungsunterdrückungsregel aktiviert.
Unterdrückungsregel deaktiviert
DisableSuppressionRule
Warnungsunterdrückungsregel deaktiviert.
Gelöschte Unterdrückungsregel
DeleteSuppressionRule
Warnungsunterdrückungsregel gelöscht.
gruppenverwaltungsaktivitäten Microsoft Entra
In der folgenden Tabelle sind Gruppenverwaltungsaktivitäten aufgeführt, die protokolliert werden, wenn ein Administrator oder ein Benutzer eine Microsoft 365-Gruppe erstellt oder ändert oder wenn ein Administrator eine Sicherheitsgruppe mithilfe des Microsoft 365 Admin Center oder des Azure-Verwaltungsportals erstellt. Weitere Informationen zu Gruppen in Microsoft 365 finden Sie unter Anzeigen, Erstellen und Löschen von Gruppen im Microsoft 365 Admin Center.
Hinweis
Die Vorgangsnamen, die in der Spalte Vorgang in der folgenden Tabelle aufgeführt sind, enthalten einen Punkt ( . ). Sie müssen den Punkt in den Vorgangsnamen einbinden, wenn Sie den Vorgang in einem PowerShell-Befehl angeben wenn Sie das Überwachungsprotokoll durchsuchen, Aufbewahrungsrichtlinien für die Überwachung, Warnungsrichtlinien oder Aktivitätswarnungen erstellen. Achten Sie auch darauf, den Vorgangsnamen in doppelte Anführungszeichen (" ") zu setzen.
Die Überwachungsprotokollierung ist für Microsoft 365-Organisationen standardmäßig aktiviert. Wenn die Überwachung für Ihre organization nicht aktiviert ist, wird ein Banner angezeigt, das Sie auffordert, mit der Aufzeichnung von Benutzer- und Administratoraktivitäten zu beginnen. Anweisungen finden Sie unter Aktivieren der Überwachung.
Microsoft Forms-Aktivitäten
In den Tabellen in diesem Abschnitt sind die in Microsoft Forms von Benutzern und Administratoren ausgeführten Aktivitäten aufgelistet, die im Überwachungsprotokoll protokolliert werden. Microsoft Forms ist ein Formular-/Quiz-/Umfrage-Tool zum Sammeln von Daten für Analysen. Wo nachstehend in den Beschreibungen erwähnt, enthalten einige Vorgänge zusätzliche Aktivitätsparameter.
Der Formularbesitzer fügt Kommentare oder Bewertungen zu einem Quiz hinzu.
Erstelltes Formular
CreateForm
Der Besitzer erstellt ein neues Formular.
Eigenschaft DataMode:string gibt an, dass das aktuelle Formular so eingestellt ist, dass es mit einer neuen oder vorhandenen Excel-Arbeitsmappe synchronisiert wird, wenn der Eigenschaftswert DataSync entspricht. Die Eigenschaft ExcelWorkbookLink:string gibt die zugehörige Excel-Arbeitsmappen-ID des aktuellen Formulars an.
Bearbeitetes Formular
EditForm
Der Formularbesitzer bearbeitet ein Formular, z. B. das Erstellen, Entfernen oder Bearbeiten einer Frage. Die Eigenschaft EditOperation:string gibt den Namen des Bearbeitungsvorgangs an. Mögliche Vorgänge sind: – CreateQuestion – CreateQuestionChoice – DeleteQuestion – DeleteQuestionChoice – DeleteFormImage – DeleteQuestionImage – UpdateQuestion – UpdateQuestionChoice – UploadFormImage/Bing/Onedrive – UploadQuestionImage – ChangeTheme
FormImage enthält jede Stelle in Formularen, an der Benutzer ein Bild hochladen können, z. B. in einer Abfrage oder als Hintergrunddesign.
Formular verschoben
MoveForm
Der Formularbesitzer verschiebt ein Formular.
Eigenschaft DestinationUserId: Zeichenfolge gibt die Benutzer-ID der Person an, die das Formular verschoben hat. Eigenschafts NewFormId: Zeichenfolge ist die neue ID für das neu kopierte Formular. Die Eigenschaft IsDelegateAccess:boolean gibt an, dass die aktuelle Aktion zum Verschieben des Formulars über die Seite der Administrator-Stellvertretung ausgeführt wird.
Gelöschtes Formular
DeleteForm
Der Formularbesitzer löscht ein Formular. Dazu gehören SoftDelete (Löschoption wird verwendet, Formular wird in den Papierkorb verschoben) und HardDelete (Papierkorb wird geleert).
Angezeigtes Formular (Entwurfszeit)
ViewForm
Der Formularbesitzer öffnet ein vorhandenes Formular für die Bearbeitung.
Die Eigenschaft AccessDenied:boolean gibt an, dass der Zugriff auf das aktuelle Formular aufgrund einer Berechtigungsprüfung verweigert wurde. Die Eigenschaft FromSummaryLink:boolean gibt an, dass die aktuelle Anforderung von der Zusammenfassungs-Linkseite stammt.
Formular in der Vorschau
PreviewForm
Der Formularbesitzer zeigt ein Formular mit der Vorschaufunktion an.
Exportiertes Formular
ExportForm
Der Formularbesitzer exportiert Ergebnisse nach Excel.
Eigenschaft ExportFormat: Zeichenfolge gibt an, ob die Excel-Datei heruntergeladen wurde oder online verfügbar ist.
Freigabe von Formularkopie zulassen
AllowShareFormForCopy
Der Formularbesitzer erstellt einen Vorlagen-Link, um das Formular für andere Benutzer freizugeben. Dieses Ereignis wird protokolliert, wenn der Formularbesitzer auswählt, die Vorlagen-URL zu generieren.
Freigabe von Formularkopie nicht zulassen
DisallowShareFormForCopy
Der Formularbesitzer löscht den Vorlagen-Link.
Formular-Koautor hinzugefügt
AddFormCoauthor
Ein Benutzer verwendet einen Link für die Zusammenarbeit, um beim Entwerfen/Anzeigen von Antworten zu helfen. Dieses Ereignis wird protokolliert, wenn ein Benutzer eine URL für die Zusammenarbeit verwendet (nicht, wenn die URL für die Zusammenarbeit zum ersten Mal generiert wird).
Formular-Koautor entfernt
RemoveFormCoauthor
Der Formularbesitzer löscht einen Link für die Zusammenarbeit.
Angezeigte Antwortseite
ViewRuntimeForm
Der Benutzer hat eine Antwortseite für die Anzeige geöffnet. Dieses Ereignis wird protokolliert, und zwar unabhängig davon, ob der Benutzer eine Antwort absendet oder nicht.
Erstellte Antwort
CreateResponse
Ähnlich wie beim Empfang einer neuen Antwort. Ein Benutzer hat eine Antwort auf ein Formular gesendet.
Eigenschaft ResponseId: Zeichenfolge und Eigenschaft ResponderId: Zeichenfolge gibt an, welches Ergebnis angezeigt wird.
Für einen anonymen Antwortgeber ist die ResponderId-Eigenschaft NULL.
Aktualisierte Antwort
UpdateResponse
Der Formularbesitzer hat einen Kommentar oder eine Bewertung für ein Quiz aktualisiert.
Eigenschaft ResponseId: Zeichenfolge und Eigenschaft ResponderId: Zeichenfolge gibt an, welches Ergebnis angezeigt wird.
Für einen anonymen Antwortgeber ist die ResponderId-Eigenschaft NULL.
Alle Antworten gelöscht
DeleteAllResponses
Der Formularbesitzer löscht alle Antwortdaten.
Gelöschte Antwort
DeleteResponse
Der Formularbesitzer löscht eine Antwort.
Eigenschaft ResponseId: Zeichenfolge gibt die gelöschte Antwort an.
Angezeigte Antworten
ViewResponses
Der Formularbesitzer zeigt die aggregierte Liste der Antworten an.
Property ViewType: Zeichenfolge gibt an, ob der Formularbesitzer das Detail oder Aggregat anzeigt.
Angezeigte Antwort
ViewResponse
Der Formularbesitzer zeigt eine bestimmte Antwort an.
Eigenschaft ResponseId: Zeichenfolge und Eigenschaft ResponderId: Zeichenfolge gibt an, welches Ergebnis angezeigt wird.
Für einen anonymen Antwortgeber ist die ResponderId-Eigenschaft NULL.
Erstellter Zusammenfassungs-Link
GetSummaryLink
Der Formularbesitzer erstellt einen Zusammenfassungs-Link, um Ergebnisse freizugeben.
Gelöschte Zusammenfassungs-Link
DeleteSummaryLink
Der Formularbesitzer löscht den Link für die Zusammenfassungsergebnisse.
Aktualisierter Phishing-Status von Formularen
UpdatePhishingStatus
Dieses Ereignis wird protokolliert, wenn der detaillierte Wert des internen Sicherheitsstatus geändert wurde, und zwar unabhängig davon, ob dadurch der endgültige Sicherheitsstatus geändert wurde (z. B. Formular ist nun geschlossen oder geöffnet). Dies bedeutet, dass Ihnen möglicherweise doppelte Ereignisse ohne eine endgültige Sicherheitsstatusänderung angezeigt werden. Zu den möglichen Statuswerten für dieses Ereignis gehören: – Take Down – Take Down by Admin – Admin Unblocked – Auto Blocked – Auto Unblocked – Customer Reported – Reset Customer Reported
Updated user phishing status
UpdateUserPhishingStatus
Dieses Ereignis wird protokolliert, wenn der Wert für den Sicherheitsstatus des Benutzers geändert wurde. Der Wert des Benutzerstatus im Überwachungsdatensatz ist Confirmed as Phisher, wenn der Benutzer ein Phishing-Formular erstellt hat, das vom Microsoft Online Safety-Team heruntergenommen wurde. Wenn ein Administrator die Sperrung des Benutzers aufhebt, wird der Wert des Benutzerstatus auf Reset as Normal Userfestgelegt.
Versendete Forms-Pro-Einladung
ProInvitation
Der Benutzer wählt aus, eine Pro-Testversion zu aktivieren.
Aktualisierte Formulareinstellung
UpdateFormSetting
Der Formularbesitzer aktualisiert eine oder mehrere Formulareinstellungen.
Die Eigenschaft FormSettingName:string gibt den Namen der aktualisierten vertraulichen Einstellungen an. Die Eigenschaft NewFormSettings:string gibt den Namen und den neuen Wert der aktualisierten Einstellungen an. Die Eigenschaft „thankYouMessageContainsLink:boolean“ gibt an, dass die aktualisierte Dankesnachricht einen URL-Link enthält.
Aktualisierte Benutzereinstellung
UpdateUserSetting
Der Formularbesitzer aktualisiert eine Benutzereinstellung.
Eigenschaft UserSettingName: Zeichenfolge gibt den Namen und neuen Wert der Einstellung an.
Aufgelistete Formulare
ListForms
Der Formularbesitzer zeigt eine Liste der Formulare an.
Property ViewType: Zeichenfolge gibt an, welche Ansicht der Besitzer betrachtet: Alle Formulare, Mit mir geteilt oder Gruppenformulare.
Gesendete Antwort
SubmitResponse
Ein Benutzer sendet eine Antwort auf ein Formular.
Eigenschaft IsInternalForm: Boolescher Wert gibt an, ob der Responder der gleichen Organisation angehört wie der Formularbesitzer.
Einstellung für "Jeder kann antworten" aktiviert
AllowAnonymousResponse
Der Formularbesitzer aktiviert die Einstellung, die es jedem ermöglicht, auf das Formular zu antworten.
Einstellung für "Jeder kann antworten" deaktiviert
DisallowAnonymousResponse
Der Formularbesitzer deaktiviert die Einstellung, die es jedem ermöglicht, auf das Formular zu antworten.
Einstellung für "Bestimmte Personen können antworten" aktiviert
EnableSpecificResponse
Der Formularbesitzer aktiviert die Einstellung, die es nur bestimmten Personen oder bestimmten Gruppen in der aktuellen Organisation erlaubt, auf das Formular zu antworten.
Einstellung für "Bestimmte Personen können antworten" deaktiviert
DisableSpecificResponse
Der Formularbesitzer deaktiviert die Einstellung, die es nur bestimmten Personen oder bestimmten Gruppen in der aktuellen Organisation erlaubt, auf das Formular zu antworten.
Spezifischer Antwortender hinzugefügt
AddSpecificResponder
Der Formularbesitzer fügt der Liste der spezifischen Antwortenden einen neuen Benutzer oder eine neue Gruppe hinzu.
Bestimmter Antwortender entfernt
RemoveSpecificResponder
Der Formularbesitzer entfernt einen Benutzer oder eine Gruppe aus der Liste der spezifischen Antwortenden.
"Zusammenarbeit" deaktiviert
DisableCollaboration
Der Formularbesitzer deaktiviert die Einstellung der Zusammenarbeit im Formular.
"Zusammenarbeit mit Office 365-Arbeits- oder Schulkonten" aktiviert
EnableWorkOrSchoolCollaboration
Der Formularbesitzer aktiviert die Einstellung, die es Benutzern mit einem Microsoft 365-Geschäfts- oder Schulkonto ermöglicht, das Formular anzuzeigen und zu bearbeiten.
"Zusammenarbeit von Personen in meiner Organisation" aktiviert
EnableSameOrgCollaboration
Der Formularbesitzer aktiviert die Einstellung, die es Benutzern in der aktuellen Organisation ermöglicht, das Formular anzuzeigen und zu bearbeiten.
"Zusammenarbeit bestimmter Personen" aktiviert
EnableSpecificCollaboaration
Der Formularbesitzer aktiviert die Einstellung, die es nur bestimmten Personen oder bestimmten Gruppen in der aktuellen Organisation erlaubt, das Formular anzuzeigen und zu bearbeiten.
Mit Excel-Arbeitsmappe verbunden
ConnectToExcelWorkbook
Das Formular wurde mit einer Excel-Arbeitsmappe verbunden.
Die Eigenschaft ExcelWorkbookLink:string gibt die zugehörige Excel-Arbeitsmappen-ID des aktuellen Formulars an.
Eine Sammlung wurde erstellt
CollectionCreated
Der Formularbesitzer hat eine Sammlung erstellt.
Eine Sammlung wurde aktualisiert
CollectionUpdated
Der Formularbesitzer hat eine Sammlungseigenschaft aktualisiert.
Die Sammlung wurde aus dem Papierkorb gelöscht
CollectionHardDeleted
Der Formularbesitzer hat eine Sammlung aus dem Papierkorb endgültig gelöscht.
Die Sammlung wurde in den Papierkorb verschoben
CollectionSoftDeleted
Der Formularbesitzer hat eine Sammlung in den Papierkorb verschoben.
Eine Sammlung wurde umbenannt
CollectionRenamed
Der Formularbesitzer hat den Namen einer Sammlung geändert.
Ein Formular wurde in die Sammlung verschoben
MovedFormIntoCollection
Der Formularbesitzer hat ein Formular in eine Sammlung verschoben.
Ein Formular wurde aus der Sammlung verschoben
MovedFormOutofCollection
Der Formularbesitzer hat ein Formular aus einer Sammlung verschoben.
Formular-Aktivitäten, die von Koautoren und anonym Antwortenden durchgeführt werden
Forms unterstützt die Zusammenarbeit beim Entwerfen von Formularen und dem Analysieren der Antworten. Ein Mitwirkender an einem Formular wird als Koautor bezeichnet. Koautoren können alles erledigen, was der Besitzer eines Formulars tun kann, außer das Löschen oder Verschieben eines Formulars. Forms ermöglichen Ihnen außerdem, ein Formular zu erstellen, auf das anonym geantwortet werden kann. Dies bedeutet, dass der Antwortende nicht bei Ihrer Organisation angemeldet sein muss, um auf ein Formular zu antworten.
In der folgenden Tabelle sind die Überwachungsaktivitäten und die Informationen im Überwachungsdatensatz für Aktivitäten beschrieben, die von Koautoren und anonym Antwortenden ausgeführt wurden.
Aktivitätstyp
Interner oder externer Benutzer
Protokollierte Benutzer-ID
Angemeldet bei Organisation
Forms-Benutzertyp
Gemeinsame Dokumenterstellung
Intern
UPN
Organisation des Formularbesitzers
Koautor
Gemeinsame Dokumenterstellung
Extern
UPN
Organisation des Koautors
Koautor
Gemeinsame Dokumenterstellung
Extern
urn:forms:coauthor#a0b1c2d3@forms.office.com (Der zweite Teil der ID ist ein Hash, der sich für unterschiedliche Benutzer unterscheidet.)
Organisation des Formularbesitzers
Koautor
Antwortaktivitäten
Extern
UPN
Organisation des Antwortenden
Responder
Antwortaktivitäten
Extern
urn:forms:external#a0b1c2d3@forms.office.com (Der zweite Teil der Benutzer-ID ist ein Hash, der sich für unterschiedliche Benutzer unterscheidet.)
Organisation des Formularbesitzers
Antwortender
Antwortaktivitäten
Anonym
urn:forms:anonymous#a0b1c2d3@forms.office.com (Der zweite Teil der Benutzer-ID ist ein Hash, der sich für unterschiedliche Benutzer unterscheidet.)
Organisation des Formularbesitzers
Antwortender
Microsoft Graph Data Connect
In der folgenden Tabelle sind die Benutzer- und Administratoraktivitäten in Microsoft Graph Data Connect aufgeführt, die für die Überwachung protokolliert werden. Die Tabelle enthält den Anzeigenamen, der in der Spalte Aktivitäten angezeigt wird, und den Namen des entsprechenden Vorgangs, der in den detaillierten Informationen eines Überwachungsdatensatzes und in der CSV-Datei angezeigt wird, wenn Sie die Suchergebnisse exportieren.
Anzeigename
Vorgang
Beschreibung
Genehmigt oder verweigert eine App
ConsentModificationRequest
Ein Benutzer hat eine Zustimmungsänderungsanforderung ausgeführt.
Extraktion ausgeführt
DataAccessRequestOperation
Ein Benutzer hat eine Extraktion ausgeführt. Partnerdatasets und ISV-Ausführungen sind ausgeschlossen.
Microsoft Planner Aktivitäten
In der folgenden Tabelle sind die Benutzer- und Administratoraktivitäten in Microsoft Planner aufgeführt, die für die Überwachung protokolliert werden. Die Tabelle enthält den Anzeigenamen, der in der Spalte Aktivitäten angezeigt wird, und den Namen des entsprechenden Vorgangs, der in den detaillierten Informationen eines Überwachungsdatensatzes und in der CSV-Datei angezeigt wird, wenn Sie die Suchergebnisse exportieren.
Hinweis
Die Portfolioaktivität in Planner wird mit der Microsoft Project für Web-Roadmap-Aktivität protokolliert. Weitere Informationen finden Sie im Abschnitt Microsoft Project für das Web-Aktivitäten.
Anzeigename
Vorgang
Beschreibung
Lesen eines Plans
PlanRead
Ein Plan wird von einem Benutzer oder einer App gelesen. Wenn der Lesevorgang ein ResultStatus.Failure oder ResultStatus.AuthorizationFailure ist, gibt ContainerType ContainerType.Invalid und ContainerId null an.
Erstellen eines Plans
PlanCreated
Ein Plan wird von einem Benutzer oder einer App erstellt. Wenn der Erstellungsvorgang ein ResultStatus.Failure oder ResultStatus.AuthorizationFailure ist, gibt ObjectId null an, ContainerType gibt ContainerType.Invalid und ContainerId null an.
Ändern eines Plans
PlanModified
Ein Plan wird von einem Benutzer oder einer App geändert.
Einen Plan gelöscht
PlanDeleted
Ein Plan wird von einem Benutzer oder einer App gelöscht.
Kopiert einen Plan
PlanKopiert
Ein Plan wird von einem Benutzer oder einer App kopiert. Wenn der Kopiervorgang ein ResultStatus.Failure oder ResultStatus.Failure ist, gibt newPlanId NULL an, newContainerType gibt ContainerType.Invalid und newContainerId null an.
Lesen einer Aufgabe
TaskRead
Eine Aufgabe wird von einem Benutzer oder einer App gelesen. Wenn der Lesevorgang ein ResultStatus.Failure oder ResultStatus.AuthorizationFailure ist, gibt PlanId null an.
Erstellen einer Aufgabe
TaskCreated
Eine Aufgabe wird von einem Benutzer oder einer App erstellt. Wenn der Erstellungsvorgang ein ResultStatus.Failure oder ResultStatus.AuthorizationFailure ist, gibt ObjectId null und PlanId null an.
Ändern einer Aufgabe
TaskModified
Eine Aufgabe wird von einem Benutzer oder einer App geändert.
Eine Aufgabe wurde gelöscht.
TaskDeleted
Eine Aufgabe wird von einem Benutzer oder einer App gelöscht.
Aufgabe zugewiesen
TaskAssigned
Der zugewiesene Benutzer einer Aufgabe wird von einem Benutzer oder einer App geändert. Dies kann eine nicht zugewiesene Aufgabe sein, die zugewiesen wird, oder eine zugewiesene Aufgabe hat einen neuen Zugewiesenen.
Abgeschlossen einer Aufgabe
TaskCompleted
Eine Aufgabe wird von einem Benutzer oder einer App als abgeschlossen markiert.
Erstellen einer Liste
RosterCreated
Eine Liste wird von einem Benutzer oder einer App erstellt. Wenn der Erstellungsvorgang ein ResultStatus.Failure oder ResultStatus.AuthorizationFailure ist, gibt ObjectId null und MemberIds eine leere Zeichenfolge an.
Eine Liste wurde gelöscht.
RosterDeleted
Eine Liste wird von einem Benutzer oder einer App gelöscht.
Mitglied(en) zu einer Liste hinzugefügt
RosterMemberAdded
Ein Element(en) wird einer Liste hinzugefügt. Wenn der Add-Vorgang ein ResultStatus.Failure oder ResultStatus.AuthorizationFailure ist, gibt MemberIds die Liste der versuchten Member-IDs an.
Ein/n Mitglied(en) in einer Liste entfernt
RosterMemberDeleted
Ein(e) Mitglied(en) wird aus einer Liste entfernt. Wenn der Entfernungsvorgang ein ResultStatus.Failure oder ResultStatus.AuthorizationFailure ist, gibt MemberIds die Liste der versuchten Member-IDs an.
Lesen einer Liste von Plänen
PlanListRead
Eine Liste von Plänen wird von einem Benutzer oder einer App abgefragt. Wenn der Abfragevorgang ein ResultStatus.Failure oder ResultStatus.AuthorizationFailure ist, gibt PlanList eine leere Zeichenfolge an.
Lesen einer Liste von Aufgaben
TaskListRead
Eine Liste von Aufgaben wird von einem Benutzer oder einer App abgefragt. Wenn der Abfragevorgang ein ResultStatus.Failure oder ResultStatus.AuthorizationFailure ist, gibt TaskList eine leere Zeichenfolge an.
Aktualisierte Mandanteneinstellungen
TenantSettingsUpdated
Mandanteneinstellungen werden von einem Mandantenadministrator aktualisiert. Wenn der Aktualisierungsvorgang ein ResultStatus.Failure oder ResultStatus.AuthorizationFailure ist, gibt ObjectId die ursprünglichen Einstellungen an, und TenantSettings gibt die versuchten Mandanteneinstellungen an.
Vertraulichkeitsbezeichnung einer Liste aktualisiert
RosterSensitivityLabelUpdated
Ein Benutzer oder eine App aktualisiert die Vertraulichkeitsbezeichnung einer Liste.
Microsoft Power Apps-Aktivitäten
Sie können das Überwachungsprotokoll nach Aktivitäten in Microsoft Power Apps durchsuchen. Diese Aktivitäten umfassen das Erstellen, Starten und Veröffentlichen einer App. Das Zuweisen von Berechtigungen zu Apps wird ebenfalls überwacht. Eine Beschreibung aller Power Apps-Aktivitäten finden Sie unter Aktivitätsprotokollierung für Power Apps.
Sie können das Überwachungsprotokoll nach Aktivitäten in Power Automate (früher Microsoft Flow) durchsuchen. Diese Aktivitäten umfassen das Erstellen, Bearbeiten und Löschen von Flows sowie das Ändern von Flow-Berechtigungen. Informationen zur Überwachung für Power Automate-Aktivitäten finden Sie im Blog Power Automate-Überwachungsereignisse jetzt im Complianceportal verfügbar.
Microsoft Project für das Web-Aktivitäten
Sie können das Überwachungsprotokoll nach Aktivitäten in Microsoft Project für das Web durchsuchen. Microsoft Project für das Web basiert auf Microsoft Dataverse und verfügt über eine zugeordnete Project Power App. Informationen zum Aktivieren der Überwachung für Szenarien, in denen der Benutzer Microsoft Dataverse oder project Power App verwendet, finden Sie unter Anleitung zur Überwachung der Systemeinstellungen . Eine Liste der Entitäten im Zusammenhang mit Project für das Web finden Sie im Leitfaden Exportieren von Benutzerdaten aus Project für das Web.
Die Überwachung von Ereignissen für Microsoft Project für das Web-Aktivitäten erfordert eine kostenpflichtige Project Plan 1-Lizenz (oder höher).
Anzeigename
Vorgang
Beschreibung
Projekt erstellt
ProjectCreated
Ein Projekt wird von einem Benutzer oder einer App erstellt.
Roadmap erstellt
RoadmapCreated
Eine Roadmap oder ein Portfolio wird von einem Benutzer oder einer App erstellt.
Erstelltes Roadmapelement
RoadmapItemCreated
Eine Roadmap oder ein Portfolioelement wird von einem Benutzer oder einer App erstellt.
Erstellte Aufgabe
TaskCreated
Eine Aufgabe wird von einem Benutzer oder einer App erstellt.
Gelöschtes Projekt
ProjectDeleted
Ein Projekt wird von einem Benutzer oder einer App gelöscht.
Gelöschte Roadmap
RoadmapDeleted
Eine Roadmap oder ein Portfolio wird von einem Benutzer oder einer App gelöscht.
Gelöschtes Roadmapelement
RoadmapItemDeleted
Ein Roadmap- oder Portfolioelement wird von einem Benutzer oder einer App gelöscht.
Gelöschte Aufgabe
TaskDeleted
Eine Aufgabe wird von einem Benutzer oder einer App gelöscht.
Zugriff auf Projekt
ProjectAccessed
Ein Projekt wird gelesen oder app verwendet.
Zugriff auf die Projektstartstarts
ProjectListAccessed
Eine Liste von Projekten und/oder Roadmaps wird von einem Benutzer abgefragt.
Zugriff auf die Roadmap
RoadmapAccessed
Eine Roadmap oder ein Portfolio wird von einem Benutzer oder einer App gelesen.
Zugriff auf Roadmap-Element
RoadmapItemAccessed
Ein Roadmap- oder Portfolioelement wird von einem Benutzer oder einer App gelesen.
Zugriff auf die Aufgabe
TaskAccessed
Eine Aufgabe wird von einem Benutzer oder einer App gelesen.
Aktualisierte Projekteinstellungen
ProjectForTheWebProjectSettings
Projekteinstellungen werden von einem Administrator aktualisiert.
Aktualisierte Roadmap
RoadmapUpdated
Eine Roadmap oder ein Portfolio wird von einem Benutzer oder einer App geändert.
Aktualisiertes Roadmapelement
RoadmapItemUpdated
Eine Roadmap oder ein Portfolioelement wird von einem Benutzer oder einer App geändert.
Aktualisierte Roadmapeinstellungen
ProjectForTheWebRoadmaptSettings
Roadmap- oder Portfolioeinstellungen werden von einem Administrator aktualisiert.
Aktualisierte Aufgabe
TaskUpdated
Eine Aufgabe wird von einem Benutzer oder einer App geändert.
Aktualisiertes Projekt
ProjectUpdated
Ein Projekt wird von einem Benutzer oder einer App geändert.
Microsoft Purview Audit Von Lösungsaktivitäten
In der folgenden Tabelle sind Aktivitäten im Zusammenhang mit Überwachungslösungen im Microsoft Purview-Portal, im Microsoft Purview-Complianceportal und im Graph-API für die Überwachungssuche aufgeführt. Diese Aktivitäten werden unter der Workload SecurityComplianceCenter überwacht. Weitere Informationen finden Sie unter Durchsuchen des Überwachungsprotokolls.
Überwachungs-Such- und Exportaktivitäten, die mit Search-UnifiedAuditLog ausgeführt werden, werden nicht überwacht.
Anzeigename
Vorgang
Beschreibung
Überwachungssuche erstellt
AuditSearchCreated
Eine neue Überwachungssuchanforderung wird übermittelt.
Überwachungssuche abgeschlossen
AuditSearchCompleted
Ein Überwachungssuchauftrag ist abgeschlossen.
Überwachen der Suche abgebrochen
AuditSearchCancelled
Ein Überwachungssuchauftrag wird abgebrochen.
Überwachungssuche gelöscht
AuditSearchDeleted
Ein Überwachungssuchauftrag wird gelöscht.
Überwachen des erstellten Exportauftrags für die Suche
AuditSearchExportJobCreated
Ein Exportauftrag wird erstellt, um die Suchergebnisse einer Überwachungssuchabfrage zu exportieren.
Überwachen des Abgeschlossenen Exportauftrags für die Suche
AuditSearchExportJobCompleted
Der Exportauftrag zum Exportieren der Suchergebnisse einer Überwachungssuchabfrage ist abgeschlossen.
Heruntergeladene Suchergebnisse überwachen
AuditSearchExportResultsDownloaded
Die Suchergebnisse aus einer Überwachungssuchabfrage wurden heruntergeladen.
Microsoft Purview-Governanceaktivitäten
In der folgenden Tabelle sind Microsoft Purview-Governanceaktivitäten aufgeführt, die im Microsoft 365-Überwachungsprotokoll protokolliert werden. Weitere Informationen finden Sie unter Microsoft Purview-Governancelösungen.
Anzeigename
Vorgang
Beschreibung
Ressource oder Entität erstellt
EntityCreated
Ein neues Medienobjekt oder eine neue Entität wird erstellt oder einer vorhandenen Ressource hinzugefügt.
Klassifizierung hinzugefügt
KlassifizierungHinzuadded
Fügen Sie Klassifizierungen zur Ressourcenentität hinzu.
Klassifizierungsdefinition erstellt
ClassificationDefinitionCreated
Erstellen Sie einen Klassifizierungstyp.
Klassifizierungsdefinition gelöscht
ClassificationDefinitionDeleted
Löschen eines Klassifizierungstyps.
Klassifizierungsdefinition aktualisiert
ClassificationDefinitionUpdated
Aktualisieren eines Klassifizierungstyps.
Klassifizierung gelöscht
ClassificationDeleted
Löscht Klassifizierungen aus der Ressourcenentität.
Klassifizierung aktualisiert
ClassificationUpdated
Aktualisieren sie Klassifizierungen für die Assetentität.
Entität gelöscht
EntityDeleted
Ein Medienobjekt oder eine Entität wird aus einem vorhandenen Medienobjekt gelöscht.
Heben Sie die Zuordnung von Begriffen zur Objektentität auf.
Glossarbegriff aktualisiert
GlossarTermUpdated
Aktualisieren eines Begriffs.
Vertraulichkeitsbezeichnung geändert
SensitivityLabelChanged
Vertraulichkeitsbezeichnung wird hinzugefügt/aktualisiert/gelöscht.
Microsoft Stream-Aktivitäten
Sie können das Überwachungsprotokoll nach Aktivitäten in Microsoft Stream durchsuchen. Diese Aktivitäten umfassen Videoaktivitäten, die von Benutzern ausgeführt werden, Gruppenkanalaktivitäten und Administratoraktivitäten, beispielsweisedas Verwalten von Benutzern und Organisationseinstellungen sowie das Exportieren von Berichten. Eine Beschreibung dieser Aktivitäten finden Sie im Abschnitt "Aktionen, die in Stream protokolliert werden" in den Überwachungsprotokollen in Microsoft Stream.
Microsoft Teams-Aktivitäten
In der folgenden Tabelle sind Microsoft Teams-Aktivitäten aufgeführt, die im Microsoft 365-Überwachungsprotokoll protokolliert werden. Sie können das Überwachungsprotokoll nach Aktivitäten in Microsoft Teams durchsuchen. Microsoft Teams ist ein Arbeitsbereich in Microsoft 365, der das Chatten ermöglicht. Hier werden die Unterhaltungen, Besprechungen, Dateien und Notizen eines Teams an einem Ort zusammengeführt. Ausführlichere Suchanleitungen finden Sie unter Durchsuchen des Überwachungsprotokolls nach Ereignissen in Microsoft Teams.
Wichtig
Microsoft empfiehlt die Verwendung von Rollen mit den wenigsten Berechtigungen. Die Minimierung der Anzahl von Benutzern mit der Rolle "Globaler Administrator" trägt zur Verbesserung der Sicherheit für Ihre organization bei. Erfahren Sie mehr über Microsoft Purview-Rollen und -Berechtigungen.
Anzeigename
Vorgang
Beschreibung
Bot zum Team hinzugefügt
BotAddedToTeam
Ein Benutzer fügt einem Team einen Bot hinzu.
Kanal hinzugefügt
ChannelAdded
Ein Benutzer fügt einem Team einen Kanal hinzu.
Connector hinzugefügt
ConnectorAdded
Ein Benutzer fügt einen Connector zu einem Kanal hinzu.
Details zu Teams-Besprechung 9 hinzugefügt
MeetingDetail
Teams hat Informationen zu einer Besprechung hinzugefügt, einschließlich der Startzeit, der Endzeit und der URL für die Teilnahme an der Besprechung.
Informationen zu Besprechungsteilnehmern hinzugefügt 9
MeetingParticipantDetail
Teams hat Informationen zu den Teilnehmern einer Besprechung hinzugefügt, einschließlich der Benutzer-ID jedes Teilnehmers, der Zeit, zu der ein Teilnehmer an der Besprechung teilnimmt und die Zeit, zu der ein Teilnehmer die Besprechung verlassen hat.
Mitglieder hinzugefügt 6, 8
MemberAdded
Ein Teambesitzer fügt Mitglieder zu einem Team-, Kanal- oder Gruppenchat hinzu.
Registerkarte hinzugefügt
TabAdded
Ein Benutzer fügt einem Kanal eine Registerkarte hinzu.
Angewendete Vertraulichkeitsbezeichnung
SensitivityLabelApplied
Ein Benutzer oder Besprechungsorganisator hat eine Vertraulichkeitsbezeichnung auf eine Teams-Besprechung angewendet.
Kanaleinstellung geändert
ChannelSettingChanged
Der Vorgang "ChannelSettingChanged" wird protokolliert, wenn die folgenden Aktivitäten von einem Teammitglied ausgeführt werden. Für jede dieser Aktivitäten wird eine Beschreibung der geänderten Einstellung (in Klammern) in der Spalte Element in den Suchergebnissen des Überwachungsprotokolls angezeigt.
Ändert den Namen eines Teamkanals (Kanalname)
Ändert die Beschreibung eines Teamkanals (Kanalbeschreibung)
Organisationseinstellung geändert
TeamsTenantSettingChanged
Der Vorgang TeamsTenantSettingChanged wird protokolliert, wenn die folgenden Aktivitäten von einem globalen Administrator im Microsoft 365 Admin Center ausgeführt werden. Diese Aktivitäten wirken sich auf organisationsweite Teams-Einstellungen aus. Weitere Informationen finden Sie unter Verwalten von Teams-Einstellungen für Ihre organization. Für jede dieser Aktivitäten wird eine Beschreibung der geänderten Einstellung (in Klammern) in der Spalte Element in den Suchergebnissen des Überwachungsprotokolls angezeigt.
Aktiviert oder deaktiviert Teams für die organization (Microsoft Teams).
Aktiviert oder deaktiviert die Interoperabilität zwischen Microsoft Teams und Skype for Business für die organization (Skype for Business Interoperabilität).
Aktiviert oder deaktiviert die Organigrammansicht in Microsoft Teams-Clients (Organigrammansicht).
Aktiviert oder deaktiviert die Möglichkeit für Teammitglieder, private Besprechungen zu planen (Private Besprechungsplanung).
Aktiviert oder deaktiviert die Möglichkeit für Teammitglieder, Kanalbesprechungen zu planen (Kanalbesprechungsplanung).
Aktiviert oder deaktiviert Videoanrufe in Teams-Besprechungen (Video für Skype-Besprechungen).
Aktiviert oder deaktiviert die Bildschirmfreigabe in Microsoft Teams-Besprechungen für die organization (Bildschirmfreigabe für Skype-Besprechungen).
Aktiviert oder deaktiviert diese Möglichkeit, animierte Bilder (giphys genannt) zu Teams-Unterhaltungen (animierte Bilder) hinzuzufügen.
Ändert die Inhaltsbewertungseinstellung für die organization (Inhaltsbewertung). Die Inhaltsbewertung beschränkt, welche Arten animierter Bilder in Unterhaltungen angezeigt werden können.
Aktiviert oder deaktiviert die Möglichkeit für Teammitglieder, anpassbare Bilder (als benutzerdefinierte Memes bezeichnet) aus dem Internet zu Teamunterhaltungen hinzuzufügen (anpassbare Bilder aus dem Internet).
Aktiviert oder deaktiviert die Möglichkeit für Teammitglieder, bearbeitbare Bilder (als Aufkleber bezeichnet) zu Teamunterhaltungen hinzuzufügen (bearbeitbare Bilder).
Aktiviert oder deaktiviert diese Möglichkeit für Teammitglieder, Bots in Microsoft Teams-Chats und -Kanälen (organisationsweite Bots) zu verwenden.
Aktiviert bestimmte Bots für Microsoft Teams. Davon ausgenommen ist der Teams-Hilfebot „T-Bot“, der verfügbar ist, wenn Bots für die Organisation aktiviert sind (Einzelne Bots).
Aktiviert oder deaktiviert die Möglichkeit für Teammitglieder, Erweiterungen oder Registerkarten (Erweiterungen oder Registerkarten) hinzuzufügen.
Aktiviert oder deaktiviert das Querladen proprietärer Bots für Microsoft Teams (Querladen von Bots).
Aktiviert oder deaktiviert die Möglichkeit für Benutzer, E-Mail-Nachrichten an einen Microsoft Teams-Kanal (Kanal-E-Mail) zu senden.
Rolle von Mitgliedern im Team geändert
MemberRoleChanged
Ein Teambesitzer ändert die Rolle der Mitglieder in einem Team. Die folgenden Werte geben den Rollentyp an, der dem Benutzer zugewiesen ist.
1 – Gibt die Memberrolle an. 2 – Gibt die Rolle Besitzer an. 3 - Gibt die Gastrolle an.
Die Members-Eigenschaft enthält auch den Namen Ihres organization und die E-Mail-Adresse des Mitglieds.
Teameinstellung geändert
TeamSettingChanged
Der Vorgang "TeamSettingChanged" wird protokolliert, wenn die folgenden Aktivitäten von einem Teambesitzer ausgeführt werden. Für jede dieser Aktivitäten wird eine Beschreibung der geänderten Einstellung (in Klammern) in der Spalte Element in den Suchergebnissen des Überwachungsprotokolls angezeigt.
Ändert den Zugriffstyp für ein Team. Teams können als privat oder öffentlich (Teamzugriffstyp) festgelegt werden. Wenn ein Team privat ist (Standardeinstellung), haben Benutzer nur nach Einladung Zugriff auf das Team. Wenn ein Team öffentlich ist, kann es von allen Benutzern gefunden werden.
Ändert die Informationsklassifizierung eines Teams (Teamklassifizierung). Teamdaten können beispielsweise als mit hohen, mittleren oder niedrigen geschäftlichen Auswirkungen klassifiziert werden.
Ändert den Namen eines Teams (Teamname).
Ändert die Teambeschreibung (Teambeschreibung).
Änderungen an Teameinstellungen. Um auf diese Einstellungen zuzugreifen, kann ein Teambesitzer mit der rechten Maustaste auf ein Team klicken, Team verwalten und dann die Registerkarte Einstellungen auswählen. Für diese Aktivitäten wird der Name der geänderten Einstellung in der Spalte Element in den Suchergebnissen des Überwachungsprotokolls angezeigt.
Geänderte Vertraulichkeitsbezeichnung
SensitivityLabelChanged
Ein Benutzer hat eine Vertraulichkeitsbezeichnung in einer Teams-Besprechung geändert.
Erstellen eines Chats 1, 6
ChatCreated
Ein Teams-Chat wurde erstellt.
Team erstellt
TeamCreated
Ein Benutzer erstellt ein Team.
Nachricht gelöscht 2
MessageDeleted
Eine Nachricht in einem Chat oder Kanal wurde gelöscht.
Alle organization-Apps gelöscht
DeletedAllOrganizationApps
Alle organization Apps aus dem Katalog gelöscht.
Gelöschte App
AppDeletedFromCatalog
Eine App wurde aus dem Katalog gelöscht.
Kanal gelöscht
ChannelDeleted
Ein Benutzer löscht einen Kanal aus einem Team.
Team gelöscht
TeamDeleted
Ein Teambesitzer löscht ein Team.
Bearbeiten einer Nachricht mit einem URL-Link in Teams
MessageEditedHasLink
Ein Benutzer bearbeitet eine Nachricht und fügt ihr in Teams einen URL-Link hinzu.
Exportierte Nachrichten 1,2
MessagesExported
Chat- oder Kanalnachrichten wurden exportiert.
Exportierte Aufzeichnungen 1
RecordingExported
Chataufzeichnungen wurden exportiert.
Exportierte Transkripte 1
TranscriptsExported
Chattranskripte wurden exportiert.
Fehler beim Überprüfen der Einladung an den freigegebenen Kanal 3
FailedValidation
Ein Benutzer antwortet auf eine Einladung zu einem freigegebenen Kanal, aber die Überprüfung der Einladung ist fehlgeschlagen.
Abgerufener Chat 1
ChatRetrieved
Ein Microsoft Teams-Chat wurde abgerufen.
Alle gehosteten Inhalte einer Nachrichtabgerufen 1
MessageHostedContentsListed
Alle gehosteten Inhalte in einer Nachricht, z. B. Bilder oder Codeausschnitte, wurden abgerufen.
App installiert
AppInstalled
Eine App wurde installiert.
Aktion für Karte ausgeführt
PerformenCardAction
Ein Benutzer hat eine Aktion für eine adaptive Karte innerhalb eines Chats ausgeführt. Adaptive Karten werden in der Regel von Bots verwendet, um die umfassende Anzeige von Informationen und Interaktionen in Chats zu ermöglichen.
Anmerkung: Nur Inlineeingabeaktionen für eine adaptive Karte innerhalb eines Chats sind im Überwachungsprotokoll verfügbar. Beispielsweise, wenn ein Benutzer eine Umfrageantwort in einer Kanalunterhaltung auf einer adaptiven Karte übermittelt, die von einem Umfragebot generiert wird. Benutzeraktionen wie "Ergebnis anzeigen", durch die ein Dialogfeld geöffnet wird, oder Benutzeraktionen innerhalb von Dialogfeldern sind im Überwachungsprotokoll nicht verfügbar.
Neue Nachricht veröffentlicht 1, 6, 8
MessageSent
Eine neue Nachricht wurde in einem Chat oder Kanal veröffentlicht.
Auffüllen von KI-generierten Notizen im Chat
AINotesUpdate
Ki-generierte Notizen wurden für einen Gruppenchat aufgefüllt.
Auffüllen von KI generierter Notizen in Livebesprechungen
LiveNotesUpdate
Ki-generierte Notizen wurden für eine Livebesprechung aufgefüllt.
Veröffentlichte App
AppPublishedToCatalog
Dem Katalog wurde eine App hinzugefügt.
Lesen einer Nachricht 1
MessageRead
Eine Nachricht eines Chats oder Kanals wurde abgerufen.
Lesen des gehosteten Inhalts einer Nachricht 1
MessageHostedContentRead
Gehostete Inhalte in einer Nachricht, z. B. ein Bild oder ein Codeausschnitt, wurden abgerufen.
Bot aus Team entfernt
BotRemovedFromTeam
Ein Benutzer entfernt einen Bot aus einem Team.
Connector entfernt
ConnectorRemoved
Ein Benutzer entfernt einen Connector aus einem Kanal.
Entfernte Mitglieder 6, 8
MemberRemoved
Ein Teambesitzer entfernt Mitglieder aus einem Team-, Kanal- oder Gruppenchat.
Vertraulichkeitsbezeichnung entfernt
SensitivityLabelRemoved
Ein Benutzer hat eine Vertraulichkeitsbezeichnung aus einer Teams-Besprechung entfernt.
Freigabe von Teamkanal 3 entfernt
TerminatedSharing
Ein Team- oder Kanalbesitzer hat die Freigabe für einen freigegebenen Kanal deaktiviert.
Freigabe von Teamkanal 3 wiederhergestellt
SharingRestored
Ein Team- oder Kanalbesitzer hat die Freigabe für einen freigegebenen Kanal erneut aktiviert.
Registerkarte entfernt
TabRemoved
Ein Benutzer entfernt eine Registerkarte aus einem Kanal.
Auf Einladung für den freigegebenen Kanal 3 geantwortet
EingeladeneAntworten
Ein Benutzer hat auf eine Einladung über einen freigegebenen Kanal geantwortet.
Antwort der eingeladenen Person auf freigegebenen Kanal 3
ChannelOwnerResponded
Ein Kanalbesitzer hat auf eine Antwort eines Benutzers geantwortet, der auf eine Einladung für einen freigegebenen Kanal geantwortet hat.
Abgerufene Nachrichten 1
MessagesListed
Nachrichten aus einem Chat oder Kanal wurden abgerufen.
Senden einer Nachricht mit einem URL-Link in Teams
MessageCreatedHasLink
Ein Benutzer sendet eine Nachricht mit einem URL-Link in Teams.
Gesendete Änderungsbenachrichtigung zur Nachrichtenerstellung 1
MessageCreatedNotification
Eine Änderungsbenachrichtigung wurde gesendet, um eine abonnierte Listeneranwendung über eine neue Nachricht zu benachrichtigen.
Gesendete Änderungsbenachrichtigung zum Löschen von Nachrichten 1
MessageDeletedNotification
Eine Änderungsbenachrichtigung wurde gesendet, um eine abonnierte Listeneranwendung über eine gelöschte Nachricht zu benachrichtigen.
Gesendete Änderungsbenachrichtigung für Meldungsupdate 1
MessageUpdatedNotification
Eine Änderungsbenachrichtigung wurde gesendet, um eine abonnierte Listeneranwendung über eine aktualisierte Nachricht zu benachrichtigen.
Gesendete Einladung für den freigegebenen Kanal 3
InviteSent
Ein Kanalbesitzer oder -mitglied sendet eine Einladung an einen freigegebenen Kanal. Einladungen zu freigegebenen Kanälen können an Personen außerhalb Ihres organization gesendet werden, wenn die Kanalrichtlinie für die Freigabe des Kanals für externe Benutzer konfiguriert ist.
Ein Abonnement wurde von einer Listeneranwendung erstellt, um Änderungsbenachrichtigungen für Nachrichten zu empfangen.
Deinstallierte App
AppUninstalled
Eine App wurde deinstalliert.
Aktualisierte App
AppUpdatedInCatalog
Eine App wurde im Katalog aktualisiert.
Chat aktualisiert 1
ChatUpdated
Ein Teams-Chat wurde aktualisiert.
Nachricht aktualisiert 1
MessageUpdated
Eine Nachricht eines Chats oder Kanals wurde aktualisiert.
Connector aktualisiert
ConnectorUpdated
Ein Benutzer hat in einem Kanal einen Connector geändert.
Registerkarte aktualisiert
TabUpdated
Ein Benutzer hat in einem Kanal eine Registerkarte geändert.
Aktualisierte App
AppUpgradeed
Eine App wurde im Katalog auf die neueste Version aktualisiert.
Benutzer bei Teams angemeldet
TeamsSessionStarted
Ein Benutzer meldet sich bei einem Microsoft Teams-Client an. Dieses Ereignis erfasst keine Tokenaktualisierungsaktivitäten.
Veröffentlicht Neue Nachricht 3,4,6, 8
MessageSent
Eine neue Nachricht wurde in einem Chat oder Kanal gepostet.
Hinweis
1 Ein Überwachungsdatensatz für dieses Ereignis wird nur protokolliert, wenn der Vorgang durch Aufrufen einer Microsoft Graph-API ausgeführt wird. Wenn der Vorgang im Teams-Client ausgeführt wird, wird kein Überwachungsdatensatz protokolliert. 2 Dieses Ereignis ist nur in Audit (Premium) verfügbar. Das bedeutet, dass Benutzern die entsprechende Lizenz zugewiesen werden muss, bevor diese Ereignisse im Überwachungsprotokoll protokolliert werden. Weitere Informationen zu Aktivitäten, die nur in Audit (Premium) verfügbar sind, finden Sie unter Audit (Premium) in Microsoft Purview. Informationen zu Lizenzanforderungen für die Überwachung (Premium) finden Sie unter Überwachungslösungen in Microsoft 365. 3 Dieses Ereignis befindet sich in der öffentlichen Vorschau. 4Dieses Ereignis wird nur für Den Chat generiert, wenn Gäste, Verbundbenutzer und/oder anonyme Benutzer vorhanden sind. 5 Dieses Ereignis ist derzeit nicht in Den Organisationen Government Community Cloud (GCC), Government Community Cloud High (GCC-High) und Department of Defense (DoD) verfügbar. 6 Dieses Ereignis ist in allen teilnehmenden Mandanten für Verbundchats enthalten. 7 Dieses Ereignis enthält Domäneninformationen für 1:1-Verbundchats. 8 Dieses Ereignis ist in allen Chatunterhaltungen zwischen externen Teams-Benutzern enthalten, die von einem organization verwaltet werden, und externen Teams-Benutzern, die nicht von einem organization verwaltet werden. 9 Dieses Ereignis ist derzeit in Government Community Cloud (GCC) nicht verfügbar, ist jedoch in Den Organisationen Government Community Cloud High (GCC-High) und Department of Defense (DoD) verfügbar.
Microsoft Teams-Aktivitäten im Gesundheitswesen
Wenn Ihre Organisation die Patientenanwendung in Microsoft Teams verwendet, können Sie das Überwachungsprotokoll nach Aktivitäten im Zusammenhang mit der Patienten-App durchsuchen. Wenn Ihre Umgebung so konfiguriert ist, dass die Patienten-App unterstützt wird, steht in der Auswahlliste Aktivitäten eine weitere Aktivitätsgruppe für diese Aktivitäten zur Verfügung.
In der folgenden Tabelle sind die Im Microsoft 365-Überwachungsprotokoll protokollierten Aktivitäten der Shift-App in Microsoft Teams aufgeführt. Wenn Ihre Organisation die App Schichten in Microsoft Teams verwendet, können Sie das Überwachungsprotokoll nach Aktivitäten im Zusammenhang mit der Schichten-App durchsuchen. Wenn Ihre Umgebung so konfiguriert ist, dass die Schichten-App unterstützt wird, steht in der Auswahlliste Aktivitäten eine weitere Aktivitätsgruppe für diese Aktivitäten zur Verfügung.
Anzeigename
Vorgang
Beschreibung
Planungsgruppe hinzugefügt
ScheduleGroupAdded
Ein Benutzer fügt dem Zeitplan erfolgreich eine neue Planungsgruppe hinzu.
Bearbeitete Zeitplanungsgruppe
ScheduleGroupEdited
Ein Benutzer bearbeitet erfolgreich eine Planungsgruppe.
Gelöschte Zeitplanungsgruppe
ScheduleGroupDeleted
Ein Benutzer löscht erfolgreich eine Zeitplanungsgruppe aus dem Zeitplan.
Zeitplan zurückgezogen
ScheduleWithdrawn
Ein Benutzer zieht erfolgreich einen veröffentlichten Zeitplan zurück.
Hinzugefügte Verschiebung
ShiftAdded
Ein Benutzer fügt erfolgreich eine Schicht hinzu.
Bearbeitete Schicht
ShiftEdited
Ein Benutzer bearbeitet erfolgreich eine Schicht.
Gelöschte Schicht
SHIFTDeleted
Ein Benutzer löscht erfolgreich eine Schicht.
Hinzugefügte Freizeit
TimeOffAdded
Ein Benutzer fügt dem Zeitplan erfolgreich freizeitmäßige Zeit hinzu.
Bearbeitete Freizeit
TimeOffEdited
Ein Benutzer bearbeitet die Freizeit erfolgreich.
Löschzeit
TimeOffDeleted
Ein Benutzer löscht die Freizeit erfolgreich.
Offene Schicht hinzugefügt
OpenShiftAdded
Ein Benutzer fügt einer Zeitplanungsgruppe erfolgreich eine offene Schicht hinzu.
Bearbeitete offene Schicht
OpenShiftEdited
Ein Benutzer bearbeitet erfolgreich eine offene Schicht in einer Planungsgruppe.
Geöffnete Schicht gelöscht
OpenShiftDeleted
Ein Benutzer löscht erfolgreich eine offene Schicht aus einer Zeitplanungsgruppe.
Freigegebener Zeitplan
ScheduleShared
Ein Benutzer hat erfolgreich einen Teamzeitplan für einen Datumsbereich freigegeben.
Getaktet mithilfe der Zeituhr
ClockedIn
Ein Benutzer hat erfolgreich zeitgesteuert die Zeituhr verwendet.
Ausgetaktet mithilfe der Zeituhr
ClockedOut
Ein Benutzer hat die Zeituhr erfolgreich verwendet.
Pause mithilfe der Zeituhr gestartet
BreakStarted
Ein Benutzer startet erfolgreich eine Pause während einer aktiven Time Clock-Sitzung.
Beendigung der Pause mithilfe der Zeituhr
BreakEnded
Ein Benutzer beendet eine Pause während einer aktiven Time Clock-Sitzung erfolgreich.
Zeituhreintrag hinzugefügt
TimeClockEntryAdded
Ein Benutzer fügt erfolgreich einen neuen manuellen Zeituhreintrag auf der Arbeitszeittabelle hinzu.
Bearbeiteter Zeituhreintrag
TimeClockEntryEdited
Ein Benutzer bearbeitet erfolgreich einen Zeituhreintrag auf der Arbeitszeittabelle.
Gelöschter Zeituhreintrag
TimeClockEntryDeleted
Ein Benutzer löscht erfolgreich einen Zeituhreintrag auf der Arbeitszeittabelle.
Schichtanforderung hinzugefügt
RequestAdded
Ein Benutzer hat eine Schichtanforderung hinzugefügt.
Antwort auf Schichtanforderung
RequestRespondedTo
Ein Benutzer hat auf eine Schichtanforderung geantwortet.
Abgebrochene Schichtanforderung
RequestCancelled
Ein Benutzer hat eine Schichtanforderung abgebrochen.
Geänderte Zeitplaneinstellung
ScheduleSettingChanged
Ein Benutzer ändert eine Einstellung in den Einstellungen für Schichten.
Mitarbeiterintegration hinzugefügt
WorkforceIntegrationAdded
Die Schichten-App ist in ein Drittanbietersystem integriert.
Meldung "Außerhalb der Schicht akzeptiert"
OffShiftDialogAccepted
Ein Benutzer bestätigt die Meldung außerhalb der Schicht, nach der Schicht auf Teams zuzugreifen.
Microsoft Teams Updates-Aktivitäten
In der folgenden Tabelle sind Updates-App in Microsoft Teams-Aktivitäten aufgeführt, die im Microsoft 365-Überwachungsprotokoll protokolliert werden. Wenn Ihr organization die Updates-App in Microsoft Teams verwendet, können Sie das Überwachungsprotokoll mithilfe der Updates-App nach Aktivitäten im Zusammenhang mit durchsuchen. Wenn Ihre Umgebung für die Unterstützung von Updates-Apps konfiguriert ist, ist eine zusätzliche Aktivitätsgruppe für diese Aktivitäten in der Auswahlliste Aktivitäten verfügbar.
Anzeigename
Vorgang
Beschreibung
Erstellen einer Updateanforderung
CreateUpdateRequest
Ein Benutzer erstellt erfolgreich eine Updateanforderung.
Bearbeiten einer Updateanforderung
EditUpdateRequest
Ein Benutzer öffnet den Assistenten für die Bearbeitung von Anforderungen und wählt Speichern aus, um Änderungen zu bestätigen und zu speichern, oder aktiviert oder deaktiviert die Updateanforderung direkt.
Übermitteln eines Updates
SubmitUpdate
Ein Benutzer übermittelt erfolgreich ein Update.
Anzeigen der Details eines Updates
ViewUpdate
Ein Benutzer zeigt die Details des Updates an.
Microsoft To Do-Aktivitäten
In der folgenden Tabelle sind die Aktivitäten in Microsoft To Do aufgeführt, die im Microsoft 365-Überwachungsprotokoll protokolliert werden. Weitere Informationen zu Microsoft To Do finden Sie unter Support für Microsoft To Do.
Hinweis
Die Überwachung von Ereignissen für Microsoft To Do-Aktivitäten erfordert zusätzlich zur relevanten Microsoft 365-Lizenz, die Berechtigungen auf Audit (Premium) enthält, eine kostenpflichtige Project Plan 1-Lizenz (oder höher).
Anzeigename
Vorgang
Beschreibung
Akzeptierter Freigabelink im Ordner
AcceptedSharingLinkOnFolder
Akzeptierter Freigabelink für einen Ordner.
Anlage erstellt
AttachmentCreated
Für eine Aufgabe wurde eine Anlage erstellt.
Anlage aktualisiert
AttachmentUpdated
Eine Anlage wurde aktualisiert.
Anlage gelöscht
AttachmentDeleted
Eine Anlage wurde gelöscht.
Ordnerfreigabelink freigegeben
FolderSharingLinkShared
Es wurde ein Freigabelink für einen Ordner erstellt.
Verknüpfte Entität gelöscht
LinkedEntityDeleted
Eine verknüpfte Entität wurde gelöscht.
Verknüpfte Entität aktualisiert
LinkedEntityUpdated
Eine verknüpfte Entität wurde aktualisiert.
Verknüpfte Entität erstellt
LinkedEntityCreated
Eine verknüpfte Entität der Aufgabe wurde erstellt.
SubTask erstellt
SubTaskCreated
Ein Teilvorgang wurde erstellt.
SubTask gelöscht
SubTaskDeleted
Ein Teilvorgang wurde gelöscht.
SubTask aktualisiert
SubTaskUpdated
Ein Teilvorgang wurde aktualisiert.
Aufgabe erstellt
TaskCreated
Eine Aufgabe wurde erstellt.
Aufgabe gelöscht
TaskDeleted
Eine Aufgabe wurde gelöscht.
Aufgabenlesevorgang
TaskRead
Eine Aufgabe wurde gelesen.
Aufgabe aktualisiert
TaskUpdated
Eine Aufgabe wurde aktualisiert.
TaskList erstellt
TaskListCreated
Eine Aufgabenliste wurde erstellt.
TaskList lesen
TaskListRead
Eine Aufgabenliste wurde gelesen.
TaskList aktualisiert
TaskListUpdated
Eine Aufgabenliste wurde aktualisiert.
Eingeladener Benutzer
UserInvited
Eingeladener Benutzer in einen Ordner.
Microsoft Viva Insights Aktivitäten
Viva Insights bietet Einblicke in die Zusammenarbeit von Gruppen in Ihren organization. In der folgenden Tabelle sind Aktivitäten aufgeführt, die von Benutzern ausgeführt werden, denen die Rolle "Administrator" oder "Analyst" in Viva Insights zugewiesen ist. Benutzern, denen die Rolle des Analysten zugewiesen ist, haben Vollzugriff auf alle Dienstfunktionen und können das Produkt für Analysen verwenden. Benutzer, denen die Administratorrolle zugewiesen ist, können Datenschutzeinstellungen und Systemstandardeinstellungen konfigurieren und Organisationsdaten in Viva Insights vorbereiten, hochladen und überprüfen. Weitere Informationen finden Sie unter Einführung in Microsoft Viva Insights.
Anzeigename
Vorgang
Beschreibung
Auf OData-Link zugegriffen
AccessedOdataLink
Analyst hat auf für eine Abfrage auf den OData-Link zugegriffen.
Delegatzugriff hinzugefügt
AddDelegates
Ein Benutzer hat Stellvertretungszugriff für organization Insights oder Copilot Dashboard hinzugefügt.
Abfrage abgebrochen
CanceledQuery
Ein Analyst hat eine laufende Abfrage abgebrochen.
Besprechungsausschluss erstellt
MeetingExclusionCreated
Ein Analytiker hat eine Ausschlussregel Besprechungen erstellt.
Ergebnis gelöscht
DeletedResult
Ein Analyst hat ein Abfrageergebnis gelöscht.
Bericht heruntergeladen
DownloadedReport
Ein Analyst hat eine Abfrageergebnisdatei heruntergeladen.
Abfrage ausgeführt
ExecutedQuery
Ein Analyst hat eine Abfrage ausgeführt.
Delegatzugriff entfernt
RemoveDelegates
Ein Benutzer hat den Stellvertretungszugriff für organization Insights oder Copilot Dashboard entfernt.
Datenzugriffseinstellungen aktualisiert
UpdatedDataAccessSetting
Ein Administrator hat die Datenzugriffseinstellungen aktualisiert.
Datenschutzeinstellung aktualisiert
UpdatedPrivacySetting
Admin aktualisierten Datenschutzeinstellungen, z. B. minimale Gruppengröße.
Organisationsdaten hochgeladen
UploadedOrgData
Ein Administrator hat eine Organisationsdatendatei hochgeladen.
Angemeldeter Benutzer*
UserLoggedIn
Ein Benutzer, der bei seinem Microsoft 365 Benutzerkonto angemeldet ist.
Benutzer abgemeldet*
UserLoggedOff
Ein Benutzer, der bei seinem Microsoft 365 Benutzerkonto abgemeldet ist.
Explore angezeigt
ViewedExplore
Ein Analyst hat Visualisierungen in einer oder mehreren Explore-Registerkarten angezeigt.
Hinweis
*Ein Microsoft Entra Anmelde- und Abmeldeaktivitätsereignis wird erstellt, wenn sich ein Benutzer anmeldet. Diese Aktivität wird auch dann protokolliert, wenn Sie Viva Insights in Ihrem organization nicht aktiviert haben. Weitere Informationen zu Benutzeranmeldungsaktivitäten finden Sie unter Anmeldeprotokolle in Microsoft Entra ID.
Persönliche Insights-Aktivitäten
In der folgenden Tabelle sind die Aktivitäten in persönlichen Erkenntnissen aufgeführt, die im Microsoft 365-Überwachungsprotokoll protokolliert werden. Weitere Informationen zu persönlichen Erkenntnissen finden Sie unter Admin Leitfaden für persönliche Einblicke.
Anzeigename
Vorgang
Beschreibung
Aktualisierte MyAnalytics-Einstellungen für die Organisation
UpdatedOrganizationMyAnalyticsSettings
Admin organization Einstellungen für persönliche Erkenntnisse aktualisiert.
Aktualisierte MyAnalytics-Einstellungen für Benutzer
UpdatedUserMyAnalyticsSettings
Admin aktualisiert die Benutzereinstellungen für persönliche Erkenntnisse.
Quarantäneaktivitäten
In der nachstehenden Tabelle sind die Quarantäneaktivitäten aufgeführt, nach denen Sie im Überwachungsprotokoll suchen können. Weitere Informationen zur Quarantäne finden Sie unter Isolierte E-Mail-Nachrichten.
Anzeigename
Vorgang
Beschreibung
Gelöschte Quarantänenachricht
QuarantineDeleteMessage
Ein Administrator oder Benutzer hat eine E-Mail-Nachricht gelöscht, die als schädlich eingestuft wurde.
Anforderung zur Freigabe von Nachrichten unter Quarantäne verweigert
QuarantineReleaseRequestDeny
Ein Administrator verweigert eine Freigabeanforderung eines Benutzers für eine E-Mail-Nachricht, die als schädlich eingestuft wurde.
Exportierte Quarantänenachricht
QuarantineExport
Ein Administrator oder Benutzer hat eine E-Mail-Nachricht exportiert, die als schädlich eingestuft wurde.
In der Vorschau angezeigte Quarantänenachricht
QuarantinePreview
Ein Administrator oder Benutzer hat eine Vorschau einer E-Mail-Nachricht angezeigt, die als schädlich eingestuft wurde.
Veröffentlichte Quarantänenachricht
QuarantineRelease
Ein Administrator oder Benutzer hat eine E-Mail-Nachricht aus der Quarantäne freigegeben, die als schädlich eingestuft wurde.
Releaseanforderungsquarantänenachricht
QuarantineReleaseRequest
Ein Benutzer hat die Freigabe einer E-Mail-Nachricht angefordert, die als schädlich eingestuft wurde.
Angezeigte Kopfzeile einer Nachricht in der Quarantäne
QuarantineViewHeader
Ein Administrator oder Benutzer hat in der Kopfzeile eine E-Mail-Nachricht angezeigt, die als schädlich eingestuft wurde.
Berichtsaktivitäten
In der folgenden Tabelle sind die Aktivitäten für Nutzungsberichte aufgeführt, die im Microsoft 365-Überwachungsprotokoll protokolliert werden.
Anzeigename
Vorgang
Beschreibung
Datenschutzeinstellungen für Nutzungsberichte aktualisiert
UpdateUsageReportsPrivacySetting
Der Administrator hat die Datenschutzeinstellungen für Nutzungsberichte aktualisiert.
Aufbewahrungsrichtlinie und Aufbewahrungsbezeichnungsaktivitäten
Benutzer, Websites oder Gruppen wurden dem adaptiven Bereich hinzugefügt oder daraus entfernt. Diese Änderungen sind das Ergebnis der Ausführung der Bereichsabfrage. Da die Änderungen vom System initiiert werden, wird der gemeldete Benutzer als GUID und nicht als Benutzerkonto angezeigt.
Einstellungen für eine Aufbewahrungsrichtlinie konfiguriert
NewRetentionComplianceRule
Der Administrator hat die Aufbewahrungseinstellungen für eine neue Aufbewahrungsrichtlinie konfiguriert. Die Aufbewahrungseinstellungen umfassen, wie lange Elemente aufbewahrt werden und was mit Elementen geschieht, wenn die Aufbewahrungsfrist abläuft (z. B. Elemente löschen, Elemente aufbewahren oder Elemente aufbewahren und anschließend löschen). Diese Aktivität entspricht auch dem Ausführen des Cmdlets New-RetentionComplianceRule.
Adaptiver Bereich erstellt
NewAdaptiveScope
Der Administrator hat einen adaptiven Bereich erstellt.
Aufbewahrungsbezeichnung erstellt
NewComplianceTag
Der Administrator hat eine neue Aufbewahrungsbezeichnung erstellt.
Aufbewahrungsrichtlinie erstellt
NewRetentionCompliancePolicy
Der Administrator hat eine neue Aufbewahrungsrichtlinie erstellt.
Adaptiver Bereich gelöscht
RemoveAdaptiveScope
Der Administrator hat einen adaptiven Bereich gelöscht.
Einstellungen für eine Aufbewahrungsrichtlinie gelöscht
RemoveRetentionComplianceRule
Der Administrator hat die Konfigurationseinstellungen einer Aufbewahrungsrichtlinie gelöscht. Höchstwahrscheinlich wird diese Aktivität protokolliert, wenn ein Administrator eine Aufbewahrungsrichtlinie löscht oder das Cmdlet Remove-RetentionComplianceRule ausführt.
Aufbewahrungsbezeichnung gelöscht
RemoveComplianceTag
Der Administrator hat eine Aufbewahrungsbezeichnung gelöscht.
Aufbewahrungsrichtlinie gelöscht
RemoveRetentionCompliancePolicy
Der Administrator hat eine Aufbewahrungsrichtlinie gelöscht.
Option "Regulatorischer Datensatz" für Aufbewahrungsbezeichnungen aktiviert
SetRestrictiveRetentionUI
Der Administrator hat das Cmdlet Set-RegulatoryComplianceUI ausgeführt, sodass ein Administrator die Option für die Benutzeroberflächenkonfiguration für eine Aufbewahrungsbezeichnung auswählen kann, um Inhalte als regulatorischen Datensatz zu kennzeichnen.
Proaktiv beibehaltenes E-Mail-Element
ExchangeDataProactivelyPreserved
Der adaptive Schutz hat automatisch eine Aufbewahrungsbezeichnung angewendet, um ein Element in Exchange beizubehalten.
Proaktiv beibehaltene Datei
SharePointDataProactivelyPreserved
Der adaptive Schutz hat automatisch eine Aufbewahrungsbezeichnung angewendet, um ein Element in SharePoint oder OneDrive beizubehalten.
Adaptiver Bereich aktualisiert
SetAdaptiveScope
Der Administrator hat die Beschreibung oder Abfrage für einen vorhandenen adaptiven Bereich geändert.
Einstellungen für eine Aufbewahrungsrichtlinie aktualisiert
SetRetentionComplianceRule
Der Administrator hat die Aufbewahrungseinstellungen für eine vorhandene Aufbewahrungsrichtlinie geändert. Die Aufbewahrungseinstellungen umfassen, wie lange Elemente aufbewahrt werden und was mit Elementen geschieht, wenn die Aufbewahrungsfrist abläuft (z. B. Elemente löschen, Elemente aufbewahren oder Elemente aufbewahren und anschließend löschen). Diese Aktivität entspricht auch dem Ausführen des Cmdlets Set-RetentionComplianceRule.
Aufbewahrungsbezeichnung aktualisiert
SetComplianceTag
Der Administrator hat eine vorhandene Aufbewahrungsbezeichnung aktualisiert.
Aufbewahrungsrichtlinie aktualisiert
SetRetentionCompliancePolicy
Der Administrator hat eine vorhandene Aufbewahrungsrichtlinie aktualisiert. Updates, die dieses Ereignis auslösen, sind beispielsweise das Hinzufügen oder Ausschließen von Inhaltsspeicherorten, auf die die Aufbewahrungsrichtlinie angewendet ist.
Rollenverwaltungsaktivitäten
In der folgenden Tabelle sind Microsoft Entra Aktivitäten zur Rollenverwaltung aufgeführt, die protokolliert werden, wenn ein Administrator Administratorrollen im Microsoft 365 Admin Center oder im Azure-Verwaltungsportal verwaltet.
Hinweis
Die Vorgangsnamen, die in der Spalte Vorgang in der folgenden Tabelle aufgeführt sind, enthalten einen Punkt ( . ). Sie müssen den Punkt in den Vorgangsnamen einbinden, wenn Sie den Vorgang in einem PowerShell-Befehl angeben wenn Sie das Überwachungsprotokoll durchsuchen, Aufbewahrungsrichtlinien für die Überwachung, Warnungsrichtlinien oder Aktivitätswarnungen erstellen. Achten Sie auch darauf, den Vorgangsnamen in doppelte Anführungszeichen (" ") zu setzen.
Anzeigename
Vorgang
Beschreibung
Mitglied zu Rolle hinzugefügt
Mitglied zu Rolle hinzufügen.
Ein Benutzer wurde einer Administratorrolle in Microsoft 365 hinzugefügt.
Benutzer aus einer Directory-Rolle entfernt
Mitglied aus Rolle entfernen.
Ein Benutzer wurde aus einer Administratorrolle in Microsoft 365 entfernt.
Kontaktinformationen für Unternehmen festgelegt
Kontaktinformationen für Unternehmen festlegen.
Die Kontakteinstellungen auf Unternehmensebene für Ihre Organisation wurden aktualisiert. Dies umfasst E-Mail-Adressen für Nachrichten in Bezug auf Abonnements, die von Microsoft 365 gesendet werden, sowie technische Benachrichtigungen zu Diensten.
Aktivitäten vertraulicher Informationstypen
In der folgenden Tabelle werden die Überwachungsereignisse für Aktivitäten beschrieben, die das Erstellen und Aktualisieren vertraulicher Informationstypen betreffen.
Anzeigename
Vorgang
Beschreibung
Neuer vertraulicher Informationstyp erstellt
CreateRulePackage/EditRulePackage*
Ein neuer vertraulicher Informationstyp wurde erstellt. Dies schließt alle SITs ein, die durch Kopieren eines standardmäßigen SIT erstellt werden.
Hinweis: Diese Aktivität wird unter den Überwachungsaktivitäten "Erstelltes Regelpaket" oder "Bearbeitetes Regelpaket" angezeigt.
Bearbeiten eines vertraulichen Informationstyps
EditRulePackage
Ein vorhandener vertraulicher Informationstyp wurde bearbeitet. Dies kann Vorgänge wie das Hinzufügen/Entfernen eines Musters und das Bearbeiten des regex/Schlüsselwort (keyword) umfassen, der dem Typ vertraulicher Informationen zugeordnet ist.
Anmerkung: Diese Aktivität wird unter der Überwachungsaktivität "Bearbeitetes Regelpaket" angezeigt.
Ein vertraulicher Informationstyp wurde gelöscht.
EditRulePackage/RemoveRulePackage
Ein vorhandener vertraulicher Informationstyp wurde gelöscht.
Anmerkung: Diese Aktivität wird unter der Überwachungsaktivität "Bearbeitetes Regelpaket" oder "Regelpaket entfernt" angezeigt.
Vertraulichkeitsbezeichnungsaktivitäten
In der folgenden Tabelle sind Ereignisse aufgeführt, die sich aus der Verwendung von Vertraulichkeitsbezeichnungen mit Websites und Elementen ergeben, die von Microsoft Purview verwaltet werden. Zu den Elementen gehören Dokumente, E-Mails und Kalenderereignisse. Für Richtlinien zur automatischen Bezeichnung enthalten Elemente auch Dateien und schematisierte Datenressourcen in Microsoft Purview Data Map.
Anzeigename
Vorgang
Beschreibung
Vertraulichkeitsbezeichnung wurde auf Website angewendet
SiteSensitivityLabelApplied
Eine Vertraulichkeitsbezeichnung wurde auf eine SharePoint-Website oder Teams-Website angewendet, die nicht mit einer Gruppe verbunden ist.
Vertraulichkeitsbezeichnung wurde von Website entfernt
SiteSensitivityLabelRemoved
Eine Vertraulichkeitsbezeichnung wurde von einer SharePoint-Website oder Teams-Website entfernt, die nicht mit einer Gruppe verbunden ist.
Vertraulichkeitsbezeichnung wurde auf Datei angewendet
FileSensitivityLabelApplied
SensitivityLabelApplied
Eine Vertraulichkeitsbezeichnung wurde mithilfe von Microsoft 365-Apps, Office für das Web oder einer Richtlinie für automatische Bezeichnungen auf ein Element angewendet.
Die Vorgänge für diese Aktivität unterscheiden sich je nachdem, wie die Bezeichnung angewendet wurde: – Office für das Web oder eine Richtlinie für automatische Bezeichnungen (FileSensitivityLabelApplied) – Microsoft 365-Apps (SensitivityLabelApplied)
Auf Datei angewendete Vertraulichkeitsbezeichnung wurde geändert
FileSensitivityLabelChanged
SensitivityLabelUpdated
Auf ein Element wurde eine andere Vertraulichkeitsbezeichnung angewendet.
Die Vorgänge für diese Aktivität unterscheiden sich abhängig davon, wie die Bezeichnung geändert wurde: – Office für das Web oder eine Richtlinie für automatische Bezeichnungen (FileSensitivityLabelChanged) – Microsoft 365-Apps (SensitivityLabelUpdated)
Vertraulichkeitsbezeichnung auf einer Website geändert
SiteSensitivityLabelChanged
Eine andere Vertraulichkeitsbezeichnung wurde auf eine SharePoint-Website oder Teams-Website angewendet, die nicht mit einer Gruppe verbunden ist.
Vertraulichkeitsbezeichnung wurde von Datei entfernt
FileSensitivityLabelRemoved
SensitivityLabelRemoved
Eine Vertraulichkeitsbezeichnung wurde mithilfe von Microsoft 365-Apps, Office für das Web, einer Richtlinie für automatische Bezeichnungen oder dem Cmdlet Unlock-SPOSensitivityLabelEncryptedFile aus einem Element entfernt.
Die Vorgänge für diese Aktivität unterscheiden sich je nachdem, wie die Bezeichnung entfernt wurde: – Office für das Web oder eine Richtlinie für automatische Bezeichnungen (FileSensitivityLabelRemoved) – Microsoft 365-Apps (SensitivityLabelRemoved)
Zusätzliche Überwachungsinformationen für Vertraulichkeitsbezeichnungen:
Wenn Sie Vertraulichkeitsbezeichnungen für Microsoft 365-Gruppen und daher Teams-Websites verwenden, die mit einer Gruppe verbunden sind, werden die Bezeichnungen mit der Gruppenverwaltung in Microsoft Entra ID überwacht. Weitere Informationen finden Sie unter Überwachungsprotokolle in Microsoft Entra ID.
Wenn Sie Vertraulichkeitsbezeichnungen mit Microsoft Defender für Cloud-Apps verwenden, lesen Sie Steuern verbundener Apps und die Bezeichnungsinformationen für Dateigovernanceaktionen.
Wenn Sie Vertraulichkeitsbezeichnungen mithilfe des Microsoft Purview Information Protection-Clients oder Scanners oder des Microsoft Information Protection SDK (MIP) anwenden, finden Sie weitere Informationen unter Azure Information Protection Überwachungsprotokollreferenz.
SharePoint-Listen Aktivitäten
In der folgenden Tabelle sind die Aktivitäten im Zusammenhang mit der Interaktion zwischen Benutzern und Listenelementen in SharePoint Online beschrieben. Überwachungsdatensätze für einige SharePoint-Aktivitäten geben an, app@sharepoint Benutzer die Aktivität im Namen des Benutzers oder Administrators ausgeführt hat, der die Aktion initiiert hat. Weitere Informationen finden Sie unter Der "app@sharepoint"-Benutzer in Überwachungsdatensätzen.
Anzeigename
Vorgang
Beschreibung
Liste erstellt
ListCreated
Ein Benutzer hat eine SharePoint-Liste erstellt.
Listenspalte erstellt
ListColumnCreated
Ein Benutzer hat eine Listenspalte in einer SharePoint-Liste erstellt. Eine Listenspalte ist eine Spalte, die mit einer oder mehreren SharePoint-Listen verbunden ist.
Listeninhaltstyp erstellt
ListContentTypeCreated
Ein Benutzer hat einen Listeninhaltstyp erstellt. Eine Listeninhaltstyp ist ein Inhaltstyp, der mit einer oder mehreren SharePoint-Listen verbunden ist.
Listenelement erstellt
ListItemCreated
Ein Benutzer hat ein Element in einer vorhandenen SharePoint-Liste erstellt.
Websitespalte erstellt
SiteColumnCreated
Ein Benutzer hat eine Websitespalte in einer SharePoint-Liste erstellt. Eine Websitespalte ist eine Spalte, die keiner Liste angefügt ist. Eine Websitespalte ist auch eine Metadatenstruktur, die von jeder Liste in einem bestimmten Web verwendet werden kann.
Websiteinhaltstyp erstellt
Site ContentTypeCreated
Ein Benutzer hat einen Websiteinhaltstyp erstellt. Bei einem Websiteinhaltstyp handelt es sich um einen Inhaltstyp, der mit der übergeordneten Website verknüpft ist.
Liste gelöscht
ListDeleted
Ein Benutzer hat eine SharePoint-Liste gelöscht.
Listenspalte gelöscht
ListColumnDeleted
Ein Benutzer hat eine SharePoint-Listenspalte gelöscht.
Listeninhaltstyp gelöscht
ListContentTypeDeleted
Ein Benutzer hat einen Listeninhaltstyp gelöscht.
Listenelement gelöscht
ListItemDeleted
Ein Benutzer hat ein Listenelement einer SharePoint-Liste gelöscht.
Websitespalte gelöscht
SiteColumnDeleted
Ein Benutzer hat eine Websitespalte in einer SharePoint-Liste gelöscht.
Websiteinhaltstyp gelöscht
SiteContentTypeDeleted
Ein Benutzer hat einen Websiteinhaltstyp gelöscht.
Listenelement in den Papierkorb verschoben
ListItemRecycled
Ein Benutzer hat ein SharePoint-Listenelement in den Papierkorb verschoben.
Liste wiederhergestellt
ListRestored
Ein Benutzer hat eine SharePoint-Liste aus dem Papierkorb wiederhergestellt.
Listenelement wiederhergestellt
ListItemRestored
Ein Benutzer hat ein SharePoint-Listenelement aus dem Papierkorb wiederhergestellt.
Liste aktualisiert
ListUpdated
Ein Benutzer hat eine SharePoint-Liste aktualisiert, indem er eine oder mehrere Eigenschaften geändert hat.
Listenspalte aktualisiert
ListColumnUpdated
Ein Benutzer hat eine SharePoint-Listenspalte durch Ändern einer oder mehrerer Eigenschaften aktualisiert.
Listeninhaltstyp aktualisiert
ListContentTypeUpdated
Ein Benutzer hat einen Listeninhaltstyp aktualisiert, indem er eine oder mehrere Eigenschaften geändert hat.
Listenelement aktualisiert
ListItemUpdated
Ein Benutzer hat ein SharePoint-Listenelement aktualisiert, indem er eine oder mehrere Eigenschaften geändert hat.
Aktualisierte Listenansicht
ListViewUpdated
Ein Benutzer hat eine SharePoint-Listenansicht durch Ändern einer oder mehrerer Eigenschaften aktualisiert.
Websitespalte aktualisiert
SiteColumnUpdated
Ein Benutzer hat eine SharePoint-Websitespalte durch Ändern einer oder mehrerer Eigenschaften aktualisiert.
Websiteinhaltstyp aktualisiert
SiteContentTypeUpdated
Ein Benutzer hat einen Websiteinhaltstyp aktualisiert, indem er eine oder mehrere Eigenschaften geändert hat.
Freigabe- und Zugriffsanforderungsaktivitäten
In der folgenden Tabelle sind die Freigabe- und Zugriffsanforderungsaktivitäten in SharePoint Online und OneDrive for Business beschrieben. Bei Freigabeereignissen gibt die Spalte Details unter Ergebnisse den Namen des Benutzers oder der Gruppe an, für den oder die das Element freigegeben wurde. Außerdem wird angegeben, ob dieser Benutzer oder diese Gruppe Mitglied oder Gast in Ihrer Organisation ist. Weitere Informationen finden Sie unter Verwenden der Freigabeüberwachung im Überwachungsprotokoll.
Hinweis
Benutzer können entweder Mitglieder oder Gäste sein, basierend auf der UserType-Eigenschaft des Benutzerobjekts. Ein Mitglied ist normalerweise ein Mitarbeiter, ein Gast ist ein Kooperationspartner außerhalb der Organisation. Wenn ein Benutzer eine Freigabeeinladung akzeptiert (und nicht bereits Mitglied Ihrer Organisation ist), wird im Verzeichnis Ihrer Organisation ein Gastkonto für diesen Benutzer erstellt. Nachdem der Gastbenutzer über ein Konto in Ihrem Verzeichnis verfügt, können Ressourcen unmittelbar mit ihm geteilt werden (ohne vorherige Einladung).
Anzeigename
Vorgang
Beschreibung
Berechtigungsstufe zu Websitesammlung hinzugefügt
PermissionLevelAdded
Eine Berechtigungsstufe wurde zu einer Websitesammlung hinzugefügt.
Zugriffsanforderung akzeptiert
AccessRequestAccepted
Eine Zugriffsanforderung für eine Website, einen Ordner oder ein Dokument wurde akzeptiert, und dem anfordernden Benutzer wurde der Zugriff gewährt.
Akzeptierte Freigabeeinladung
SharingInvitationAccepted
Der Benutzer (Mitglied oder Gast) hat eine Freigabeeinladung akzeptiert, und der Zugriff auf die Ressource wurde gewährt. Dieses Ereignis enthält Informationen zu dem eingeladenen Benutzer sowie die E-Mail-Adresse, die für die Annahme der Einladung verwendet wurde (bei Adressen können unterschiedlich sein). Diese Aktivität wird häufig von einem zweiten Ereignis begleitet, das beschreibt, in welcher Weise dem Benutzer der Zugriff auf die Ressource gewährt wurde, beispielsweise in dem der Benutzer einer Gruppe hinzugefügt wurde, die Zugriff auf die Ressource hat.
Freigabeeinladung gesperrt
SharingInvitationBlocked
Eine von einem Benutzer in Ihrer Organisation gesendete Freigabeeinladung wird aufgrund einer Richtlinie für externe Freigabe blockiert, die die externe Freigabe auf Basis der Domäne des Empfängers zulässt oder verweigert. In diesem Fall wurde die Freigabeeinladung blockiert, weil: Die Domäne des Zielbenutzers nicht in der Liste der zulässigen Domänen enthalten ist. Oder: Die Domäne des Zielbenutzers in der Liste der blockierten Domänen enthalten ist. Weitere Informationen zum Zulassen oder Blockieren externer Freigaben basierend auf Domänen finden Sie unter Eingeschränkte Domänenfreigabe in SharePoint Online und OneDrive for Business.
Zugriffsanforderung erstellt
AccessRequestCreated
Der Benutzer fordert Zugriff auf eine Website, einen Ordner oder ein Dokument an, für deren Zugriff er über keine Berechtigungen verfügt.
Unternehmensweit teilbarer Link erstellt
CompanyLinkCreated
Ein Benutzer hat einen unternehmensweit teilbaren Link zu einer Ressource erstellt. Unternehmensweite Links können nur von Mitgliedern Ihrer Organisation verwendet werden. Sie können nicht von Gästen genutzt werden.
Anonymer Link erstellt
AnonymousLinkCreated
Ein Benutzer hat einen anonymen Link zu eine Ressource erstellt. Jeder, der über diesen Link verfügt, kann auf die Ressource zugreifen, ohne sich authentifizieren zu müssen.
Sicherer Link erstellt
SecureLinkCreated
Für dieses Element wurde ein sicherer Freigabelink erstellt.
Freigabeeinladung erstellt
SharingInvitationCreated
Ein Benutzer hat eine Ressource in SharePoint Online oder OneDrive for Business mit einem Benutzer geteilt, der sich nicht im Verzeichnis Ihrer Organisation befindet.
Sicherer Link gelöscht
SecureLinkDeleted
Ein sicherer Freigabelink wurde gelöscht.
Zugriffsanforderung verweigert
AccessRequestDenied
Eine Zugriffsanforderung auf eine Website, einen Ordner oder ein Dokument wurde verweigert.
Unternehmensweit teilbarer Link entfernt
CompanyLinkRemoved
Ein Benutzer hat einen unternehmensweit teilbaren zu einer Ressource entfernt. Der Link kann nicht mehr für den Zugriff auf die Ressource verwendet werden.
Anonymer Link entfernt
AnonymousLinkRemoved
Ein Benutzer hat einen anonymen Link zu eine Ressource entfernt. Der Link kann nicht mehr für den Zugriff auf die Ressource verwendet werden.
Datei, Ordner oder Website freigegeben
SharingSet
Ein Benutzer (Mitglied oder Gast) hat eine Datei, einen Ordner oder eine Website in SharePoint oder OneDrive for Business mit einem Benutzer im Verzeichnis Ihrer Organisation geteilt. Der Wert in der Spalte Detail für diese Aktivität gibt den Namen des Benutzers an, mit dem die Ressource geteilt wurde, und ob es sich bei diesem Benutzer um ein Mitglied oder einen Gast handelt.
Diese Aktivität wird häufig von einem zweiten Ereignis begleitet, das beschreibt, in welcher Weise dem Benutzer der Zugriff auf die Ressource gewährt wurde. So kann beispielsweise der Benutzer einer Gruppe hinzugefügt werden, die Zugriff auf die Ressource hat.
Zugriffsanforderung aktualisiert
AccessRequestUpdated
Eine Zugriffsanforderung für ein Element wurde aktualisiert.
Anonymer Link aktualisiert
AnonymousLinkUpdated
Ein Benutzer hat einen anonymen Link zu eine Ressource aktualisiert. Das aktualisierte Feld wird beim Exportieren der Suchergebnisse in die EventData-Eigenschaft eingeschlossen.
Freigabeeinladung aktualisiert
SharingInvitationUpdated
Eine externe Freigabeeinladung wurde aktualisiert.
Anonymer Link verwendet
AnonymousLinkUsed
Ein anonymer Benutzer hat über einen anonymen Link auf eine Ressource zugegriffen. Die Identität des Benutzers ist möglicherweise nicht bekannt, Sie können jedoch andere Details wie die IP-Adresse des Benutzers anzeigen.
Freigabe von Datei, Ordner oder Website aufgehoben
SharingRevoked
Ein Benutzer (Mitglied oder Gast) hat die Freigabe einer Datei, eines Ordners oder einer Website aufgehoben, die oder der zuvor mit einem anderen Benutzer geteilt wurde.
Unternehmensweit teilbarer Link verwendet
CompanyLinkUsed
Ein Benutzer hat über einen unternehmensweit teilbaren Link auf eine Ressource zugegriffen.
Sicherer Link verwendet
SecureLinkUsed
Ein Benutzer hat einen sicheren Link verwendet.
Benutzer zu sicherem Link hinzugefügt
AddedToSecureLink
Ein Benutzer wurde der Liste der Entitäten hinzugefügt, die einen sicheren Freigabelink verwenden können.
Benutzer wurde aus „sicherer Link“ entfernt
RemovedFromSecureLink
Ein Benutzer wurde von der Liste der Entitäten entfernt, die einen sicheren Freigabelink verwenden können.
Freigabeeinladung zurückgezogen
SharingInvitationRevoked
Ein Benutzer hat eine Freigabeeinladung zu einer Ressource zurückgezogen.
Websiteverwaltungsaktivitäten
Die folgende Tabelle enthält die Ereignisse, die aus Websiteverwaltungsaufgaben in SharePoint Online resultieren. Wie bereits erläutert, geben Überwachungsdatensätze für einige SharePoint-Aktivitäten an, app@sharepoint Benutzer die Aktivität im Namen des Benutzers oder Administrators ausgeführt hat, der die Aktion initiiert hat. Weitere Informationen finden Sie unter Der "app@sharepoint"-Benutzer in Überwachungsdatensätzen.
Wichtig
Microsoft empfiehlt die Verwendung von Rollen mit den wenigsten Berechtigungen. Die Minimierung der Anzahl von Benutzern mit der Rolle "Globaler Administrator" trägt zur Verbesserung der Sicherheit für Ihre organization bei. Erfahren Sie mehr über Microsoft Purview-Rollen und -Berechtigungen.
Anzeigename
Vorgang
Beschreibung
Zulässigen Datenspeicherort festgelegt
AllowedDataLocationAdded
Ein SharePoint- oder globaler Administrator hat einen zulässigen Datenspeicherort in einer Multi-Geo-Umgebung hinzugefügt.
Ausgenommener Benutzer-Agent hinzugefügt
ExemptUserAgentSet
Ein SharePoint- oder globaler Administrator hat einen Benutzer-Agent zu der Liste der ausgenommenen Benutzer-Agents im SharePoint Admin Center hinzugefügt.
Geografischer Standort-Administrator hinzugefügt
GeoAdminAdded
Ein SharePoint- oder globaler Administrator hat einen Benutzer als Geo-Administrator eines Standorts hinzugefügt.
Benutzer das Erstellen von Gruppen gestattet
AllowGroupCreationSet
Der Websiteadministrator oder -besitzer fügt eine Berechtigungsstufe zu einer Website hinzu, die einem Benutzer, dem diese Berechtigung zugewiesen wird, das Erstellen einer Gruppe für diese Website gestattet.
Verschiebung der Websitegeografie abgebrochen
SiteGeoMoveCancelled
Ein SharePoint- oder globaler Administrator bricht erfolgreich eine Verschiebung der SharePoint-oder OneDrive-Websitegeografie ab. Mit der Multi-Geo-Funktion kann eine Organisation mehrere Microsoft-Rechenzentrumregionen, so genannte Geos, umfassen. Weitere Informationen finden Sie unter Multi-Geo-Funktionen in OneDrive und SharePoint Online.
Freigaberichtlinie geändert
SharingPolicyChanged
Ein SharePoint- oder globaler Administrator hat eine SharePoint-Freigaberichtlinie mithilfe des Microsoft 365 Admin Center, des SharePoint Online Admin Center oder der SharePoint Online-Verwaltungsshell geändert. Alle Änderungen an den Einstellungen der Freigaberichtlinie in Ihrer Organisation werden protokolliert. Die geänderte Richtlinie wird im Feld ModifiedProperties in den Detailinformationen des Ereignisdatensatzes aufgeführt.
Zugriffsrichtlinie des Geräts geändert
DeviceAccessPolicyChanged
Ein SharePoint- oder globaler Administrator hat die Richtlinie für nicht verwaltete Geräte in Ihrer Organisation geändert. Diese Richtlinie steuert den Zugriff auf SharePoint, OneDrive und Microsoft 365 von Geräten, die Ihrer Organisation nicht beigetreten sind. Zum Konfigurieren dieser Richtlinie ist ein Enterprise Mobility + Security-Abonnement erforderlich. Weitere Informationen finden Sie unter Steuern des Zugriffs von nicht verwalteten Geräten.
Ausgenommene Benutzer-Agents geändert
CustomizeExemptUsers
Ein SharePoint- oder globaler Administrator hat die Liste der ausgenommenen Benutzer-Agents im SharePoint Admin Center angepasst. Sie können festlegen, welche Benutzer-Agents vom Empfangen einer gesamten Webseite zum Indizieren ausgenommen werden sollen. Dies bedeutet, dass das Formular als XML-Datei und nicht als gesamte Webseite zurückgegeben wird, wenn ein Benutzer-Agent, den Sie als Ausnahme angegeben haben, auf ein InfoPath-Formular trifft. Dadurch wird die Indizierung von InfoPath-Formularen beschleunigt.
Netzwerkzugriffsrichtlinie geändert
NetworkAccessPolicyChanged
Ein SharePoint- oder globaler Administrator hat die standortbasierte Zugriffsrichtlinie (auch als „Grenze des vertrauenswürdigen Netzwerks“ bezeichnet) im SharePoint Admin Center oder mithilfe der SharePoint PowerShell geändert. Dieser Richtlinientyp steuert, wer basierend auf von Ihnen festgelegten autorisierten IP-Adressbereichen Zugriff auf SharePoint- und OneDrive-Ressourcen in Ihrer Organisation hat. Weitere Informationen finden Sie unter Steuern des Zugriffs auf SharePoint Online- und OneDrive-Daten auf der Grundlage von definierten Netzwerkspeicherorten.
Abgeschlossener Migrationsauftrag
MigrationJobCompleted
Ein Migrationsauftrag wurde erfolgreich abgeschlossen.
Verschiebung der Websitegeografie abgeschlossen
SiteGeoMoveCompleted
Eine von einem globalen Administrator in Ihrer Organisation angesetzte Verschiebung der Websitegeografie wurde erfolgreich abgeschlossen. Mit der Multi-Geo-Funktion kann eine Organisation mehrere Microsoft-Rechenzentrumregionen, so genannte Geos, umfassen. Weitere Informationen finden Sie unter Multi-Geo-Funktionen in OneDrive und SharePoint Online.
Senden-an-Verbindung erstellt
SendToConnectionAdded
Ein SharePoint- oder globaler Administrator erstellt eine neue Senden-an-Verbindung auf der Verwaltungsseite für Datensätze im SharePoint Admin Center. Mit einer Senden-an-Verbindung werden die Einstellungen für ein Dokumentrepository oder ein Datenarchiv festgelegt. Wenn Sie eine Senden-an-Verbindung erstellen, kann eine Inhaltsorganisation Dokumente an den angegebenen Speicherort übermitteln.
Websitesammlung erstellt
SiteCollectionCreated
Ein SharePoint- oder globaler Administrator erstellt eine Websitesammlung in Ihrer SharePoint Online-Organisation, oder ein Benutzer stellt seine OneDrive for Business-Website bereit.
Verwaiste Hub-Website gelöscht
HubSiteOrphanHubDeleted
Ein SharePoint- oder globaler Administrator hat eine verwaiste Hub-Website gelöscht. Es handelt sich dabei um eine Hub-Website, der keine Websites zugeordnet sind. Ein verwaister Hub ist wahrscheinlich durch den Löschvorgang der ursprünglichen Hub-Website entstanden.
Senden-an-Verbindung gelöscht
SendToConnectionRemoved
Ein SharePoint- oder globaler Administrator löscht eine Senden-an-Verbindung auf der Verwaltungsseite für Datensätze im SharePoint Admin Center.
Website gelöscht
SiteDeleted
Der Websiteadministrator löscht eine Website.
Dokumentvorschau aktiviert
PreviewModeEnabledSet
Der Websiteadministrator aktiviert die Dokumentvorschau für eine Website.
Älterer Workflow aktiviert
LegacyWorkflowEnabledSet
Der Websiteadministrator oder -besitzer fügt den SharePoint 2013-Workflowaufgaben-Inhaltstyp zur Website hinzu. Globale Administratoren können ebenfalls Workflows für die gesamte Organisation im SharePoint Admin Center aktivieren.
Office on Demand aktiviert
OfficeOnDemandSet
Der Websiteadministrator aktiviert Office on Demand, wodurch Benutzer auf die neueste Version von Office-Desktopanwendungen zugreifen können. Office on Demand wird im SharePoint Admin Center aktiviert und erfordert ein Microsoft 365-Abonnement, bei dem alle Office-Anwendungen installiert werden.
Ergebnisquelle für Personensuchen aktiviert
PeopleResultsScopeSet
Der Websiteadministrator erstellt die Ergebnisquelle für Personensuchen für eine Website.
RSS-Feeds aktiviert
NewsFeedEnabledSet
Der Websiteadministrator oder -besitzer aktiviert RSS-Feeds für eine Website. Globale Administratoren können RSS-Feeds für die gesamte Organisation im SharePoint Admin Center aktivieren.
Website mit Hub-Website verbunden
HubSiteJoined
Der Besitzer einer Website verknüpft seine Website mit einer Hub-Website.
Websitesammlungskontingent geändert
SiteCollectionQuotaModified
Der Websiteadministrator ändert das Kontingent für eine Websitesammlung.
Hub-Website registriert
HubSiteRegistered
Ein SharePoint- oder globaler Administrator erstellt eine Hub-Website. Das Ergebnis: Die Website ist als Hub-Website registriert.
Zulässigen Datenspeicherort entfernt
AllowedDataLocationDeleted
Ein SharePoint- oder globaler Administrator hat einen zulässigen Datenspeicherort aus einer Multi-Geo-Umgebung entfernt.
Geografischer Standort-Administrator entfernt
GeoAdminDeleted
Ein SharePoint- oder globaler Administrator hat einen Benutzer als Geo-Administrator eines Standorts entfernt.
Website umbenannt
SiteRenamed
Der Websiteadministrator oder -besitzer benennt eine Website um.
Verschiebung der Websitegeografie geplant
SiteGeoMoveScheduled
Ein SharePoint- oder globaler Administrator plant erfolgreich eine Verschiebung der SharePoint-oder OneDrive-Websitegeografie. Mit der Multi-Geo-Funktion kann eine Organisation mehrere Microsoft-Rechenzentrumregionen, so genannte Geos, umfassen. Weitere Informationen finden Sie unter Multi-Geo-Funktionen in OneDrive und SharePoint Online.
Hostwebsite festgelegt
HostSiteSet
Ein SharePoint- oder globaler Administrator ändert die vorgesehene Website zum Hosten persönlicher oder OneDrive for Business-Websites.
Ein Speicherkontingent für einen geografischen Standort wurde konfiguriert
GeoQuotaAllocated
Ein SharePoint- oder globaler Administrator hat einen zulässigen Datenspeicherort in einer Multi-Geo-Umgebung konfiguriert.
Website von der Hub-Website gelöst
HubSiteUnjoined
Der Besitzer einer Website löst seine Website von einer Hub-Website.
Registrierung einer Hub-Website entfernt
HubSiteUnregistered
Ein SharePoint- oder globaler Administrator hat die Registrierung seiner Website als Hub-Website entfernt. Wenn die Registrierung einer Hub-Website aufgehoben wird, funktioniert sie nicht mehr als Hub-Website.
Websiteberechtigungsaktivitäten
In der folgenden Tabelle sind die Ereignisse im Zusammenhang mit dem Zuweisen von Berechtigungen in SharePoint und der Verwendung von Gruppen zum Gewähren (und Widerrufen) des Zugriffs auf Websites aufgelistet. Wie bereits erläutert, geben Überwachungsdatensätze für einige SharePoint-Aktivitäten an, app@sharepoint Benutzer die Aktivität im Namen des Benutzers oder Administrators ausgeführt hat, der die Aktion initiiert hat. Weitere Informationen finden Sie unter Der "app@sharepoint"-Benutzer in Überwachungsdatensätzen.
Anzeigename
Vorgang
Beschreibung
Websitesammlungsadministrator hinzugefügt
SiteCollectionAdminAdded
Der Websitesammlungsadministrator oder -besitzer fügt eine Person als Websitesammlungsadministrator für eine Website hinzu. Websitesammlungsadministratoren verfügen über Vollzugriff für die Websitesammlung und alle Unterwebsites. Diese Aktivität wird ebenfalls protokolliert, wenn ein Administrator sich selbst Zugriff auf das OneDrive-Konto eines Benutzers gewährt (durch Bearbeiten des Benutzerprofils im SharePoint Admin Center oder mithilfe des Microsoft 365 Admin Centers).
Benutzer oder Gruppe zu SharePoint-Gruppe hinzugefügt
AddedToGroup
Ein Benutzer hat ein Mitglied oder einen Gast zu einer SharePoint-Gruppe hinzugefügt. Dies kann eine beabsichtigte Aktion oder das Ergebnis einer anderen Aktivität wie eines Freigabeereignisses gewesen sein.
Vererbung der Berechtigungsstufe unterbrochen
PermissionLevelsInheritanceBroken
Ein Element wurde geändert, sodass es die Berechtigungsstufen nicht mehr vom übergeordneten Element erbt.
Vererbung der Freigabe unterbrochen
SharingInheritanceBroken
Ein Element wurde geändert, sodass es die Freigabeberechtigung nicht mehr vom übergeordneten Element erbt.
Gruppe erstellt
GroupAdded
Der Websiteadministrator oder -besitzer erstellt eine Gruppe für eine Website oder führt eine Aufgabe aus, die zur Erstellung einer Gruppe führt. Wenn ein Benutzer beispielsweise zum ersten Mal einen Link zum Freigeben einer Datei erstellt, wird eine Systemgruppe zur OneDrive for Business-Website hinzugefügt. Dieses Ereignis kann auch dadurch entstehen, dass ein Benutzer einen Link mit Bearbeitungsberechtigungen für eine freigegebene Datei erstellt.
Gruppe gelöscht
GroupRemoved
Der Benutzer löscht eine Gruppe von einer Website.
Zugriffsanforderungseinstellungen geändert
WebRequestAccessModified
Die Einstellungen für die Zugriffsanforderungseinstellungen wurden auf einer-Website geändert.
Einstellung „Mitglieder können teilen“ geändert
WebMembersCanShareModified
Die Einstellung Mitglieder können freigeben wurde auf einer Website geändert.
Berechtigungsstufe in Websitesammlung geändert
PermissionLevelModified
Eine Berechtigungsstufe in einer Websitesammlung wurde geändert.
Websiteberechtigungen geändert
SitePermissionsModified
Der Websiteadministrator oder -besitzer (oder das Systemkonto) ändert die Berechtigungsstufe, die einer Gruppe auf einer Website zugeordnet ist. Diese Aktivität wird ebenfalls protokolliert, wenn alle Berechtigungen für eine Gruppe entfernt werden.
Hinweis: Dieser Vorgang ist in SharePoint Online veraltet. Um verwandte Ereignisse zu finden, können Sie nach anderen Aktivitäten im Zusammenhang mit Berechtigungen suchen, z. B. Websitesammlungsadministrator hinzugefügt, Benutzer oder Gruppe zu SharePoint-Gruppe hinzugefügt, Benutzer darf Gruppen erstellen, Gruppe erstellt oder Gruppe gelöscht.
Berechtigungsstufe aus einer Websitesammlung gelöscht
PermissionLevelRemoved
Eine Berechtigungsstufe wurde aus einer Websitesammlung gelöscht.
Websitesammlungsadministrator entfernt
SiteCollectionAdminRemoved
Der Websitesammlungsadministrator oder -besitzer entfernt eine Person als Websitesammlungsadministrator für eine Website. Diese Aktivität wird ebenfalls protokolliert, wenn ein Administrator sich selbst von der Liste der Websitesammlungsadministratoren eines OneDrive-Kontos eines Benutzers entfernt (durch Bearbeiten des Benutzerprofils im SharePoint Admin Center). Um diese Aktivität in den Suchergebnissen des Überwachungsprotokolls zurückzugeben, müssen Sie nach allen Aktivitäten suchen.
Benutzer oder Gruppe aus SharePoint-Gruppe entfernt
RemovedFromGroup
Ein Benutzer hat ein Mitglied oder einen Gast aus einer SharePoint-Gruppe entfernt. Dies kann eine beabsichtigte Aktion oder das Ergebnis einer anderen Aktivität wie dem Aufheben einer Freigabe gewesen sein.
Website-Administratorberechtigungen angefordert
SiteAdminChangeRequest
Der Benutzer fordert an, als Websitesammlungsadministrator für eine Websitesammlung hinzugefügt zu werden. Websitesammlungsadministratoren verfügen über Vollzugriff für die Websitesammlung und alle Unterwebsites.
Vererbung der Freigabe wiederhergestellt
SharingInheritanceReset
Eine Änderung wurde vorgenommen, sodass ein Element die Freigabeberechtigung vom übergeordneten Element erbt.
Gruppe aktualisiert
GroupUpdated
Der Websiteadministrator oder -besitzer ändert die Einstellungen einer Gruppe für eine Website. Dazu kann das Ändern des Gruppennamens, das Anzeigen oder Bearbeiten der Gruppenmitgliedschaft und die Art der Verarbeitung von Mitgliedsanträgen gehören.
Synchronisierungsaktivitäten
In der folgenden Tabelle sind die Dateisychronisierungsaktivitäten in SharePoint Online und OneDrive for Business beschrieben.
Anzeigename
Vorgang
Beschreibung
Computer zum Synchronisieren von Dateien zugelassen
ManagedSyncClientAllowed
Der Benutzer richtet erfolgreich eine Synchronisierungsbeziehung mit einer Website ein. Die Synchronisierungsbeziehung ist erfolgreich, da der Computer des Benutzers Mitglied einer Domäne ist, die zur Liste der Domänen, die in Ihrer Organisation auf Dokumentbibliotheken zugreifen können (auch Liste der sicheren Empfänger genannt), hinzugefügt wurde.
Computer für Synchronisieren von Dateien blockiert
UnmanagedSyncClientBlocked
Der Benutzer versucht, eine Synchronisierungsbeziehung mit einer Website von einem Computer aus herzustellen, der nicht Mitglied der Domäne Ihres organization ist oder Mitglied einer Domäne ist, die nicht der Liste der Domänen (liste der sicheren Empfänger) hinzugefügt wurde, die auf Dokumentbibliotheken in Ihrem organization zugreifen können. Die Synchronisierungsbeziehung ist nicht zulässig, und der Computer des Benutzers wird daran gehindert, Dateien in einer Dokumentbibliothek zu synchronisieren, herunterzuladen oder hochzuladen.
Eine Datei aus einer SharePoint Dokumentbibliothek oder aus OneDrive for Business wird von einem Benutzer mithilfe der OneDrive-Synchronisierungs-App (OneDrive.exe) auf seinen Computer heruntergeladen.
Dateiänderungen auf Computer heruntergeladen
FileSyncDownloadedPartial
Dieses Ereignis ist zusammen mit der alten OneDrive for Business-Synchronisierungs-App (Groove.exe) veraltet.
Dateien in Dokumentbibliothek hochgeladen
FileSyncUploadedFull
Eine Datei aus der SharePoint Dokumentbibliothek oder aus OneDrive for Business wird von einem Benutzer mithilfe der OneDrive-Synchronisierungs-App (OneDrive.exe) auf seinen Computer hochgeladen oder geändert.
Dateiänderungen in Dokumentbibliothek hochgeladen
FileSyncUploadedPartial
Dieses Ereignis ist zusammen mit der alten OneDrive for Business-Synchronisierungs-App (Groove.exe) veraltet.
SystemSync-Aktivitäten
In der folgenden Tabelle sind die Aktivitäten für SystemSync aufgeführt, die im Microsoft 365-Auditprotokoll protokolliert werden.
Anzeigename
Vorgang
Beschreibung
Data Share erstellt
DataShareCreated
Wenn der Datenexport vom Benutzer erstellt wird.
Data Share gelöscht
DataShareDeleted
Wenn der Datenexport vom Benutzer gelöscht wird.
Generieren einer Kopie von Lake Data
GenerateCopyOfLakeData
Wenn die Kopie von Lake Data generiert wird.
Kopie von Lake Data herunterladen
DownloadCopyOfLakeData
Wenn die Kopie von Lake Data heruntergeladen wird.
Benutzerverwaltungsaktivitäten
In der folgenden Tabelle sind Benutzerverwaltungsaktivitäten aufgelistet, die protokolliert werden, wenn ein Administrator ein Benutzerkonto über das Microsoft 365 Admin Center oder das Azure-Verwaltungsportal hinzufügt oder ändert.
Hinweis
Die Vorgangsnamen, die in der Spalte Vorgang in der folgenden Tabelle aufgeführt sind, enthalten einen Punkt ( . ). Sie müssen den Punkt in den Vorgangsnamen einbinden, wenn Sie den Vorgang in einem PowerShell-Befehl angeben wenn Sie das Überwachungsprotokoll durchsuchen, Aufbewahrungsrichtlinien für die Überwachung, Warnungsrichtlinien oder Aktivitätswarnungen erstellen. Achten Sie auch darauf, den Vorgangsnamen in doppelte Anführungszeichen (" ") zu setzen.
Aktivität
Vorgang
Beschreibung
Benutzer hinzugefügt
Benutzer hinzufügen.
Ein Benutzerkonto wurde erstellt.
Benutzerlizenz geändert
Benutzerlizenz ändern.
Die einem Benutzer zugewiesene Lizenz wurde geändert. Wenn Sie feststellen möchten, welche Lizenzen geändert wurden, sehen Sie sich die entsprechende Aktivität Benutzer aktualisiert an.
Benutzerkennwort geändert
Benutzerkennwort ändern.
Ein Benutzer ändert sein Kennwort. Das Zurücksetzen von Kennwörtern durch den Benutzer muss (für alle oder ausgewählte Benutzer) in Ihrer Organisation aktiviert sein, damit Benutzer ihr Kennwort zurücksetzen können. Sie können auch die Self-Service-Kennwortzurücksetzungsaktivität in Microsoft Entra ID nachverfolgen. Weitere Informationen finden Sie unter Berichterstellungsoptionen für Microsoft Entra Kennwortverwaltung.
Benutzer gelöscht
Benutzer löschen.
Ein Benutzerkonto wurde gelöscht.
Benutzerkennwort zurücksetzen
Benutzerkennwort zurücksetzen.
Der Administrator setzt das Kennwort für einen Benutzer zurück.
Eigenschaft festgelegt, die einen Benutzer zur Kennwortänderung zwingt
Erzwungene Änderung des Benutzerkennworts festlegen.
Der Administrator hat die Eigenschaft festgelegt, die einen Benutzer dazu zwingt, sein Kennwort bei der nächsten Anmeldung bei Microsoft 365 zu ändern.
Lizenzeigenschaften festgelegt
Lizenzeigenschaften festlegen.
Der Administrator ändert die Eigenschaften einer Lizenz, die einem Benutzer zugewiesen ist.
Benutzer aktualisiert
Benutzer aktualisieren.
Ein Administrator ändert eine oder mehrere Eigenschaften eines Benutzerkontos. Eine Liste der Benutzereigenschaften, die aktualisiert werden können, finden Sie im Abschnitt "Aktualisieren von Benutzerattributen" in Microsoft Entra Überwachungsberichtsereignissen.
Viva Goals Aktivitäten
In der folgenden Tabelle sind die Benutzer- und Administratoraktivitäten in Viva Goals aufgeführt, die für die Überwachung protokolliert werden. Die Tabelle enthält den Anzeigenamen, der in der Spalte Aktivitäten angezeigt wird, und den Namen des entsprechenden Vorgangs, der in den detaillierten Informationen eines Überwachungsdatensatzes und in der CSV-Datei angezeigt wird, wenn Sie die Suchergebnisse exportieren.
Durchsuchen Sie die Überwachungsprotokolldetails , wie Sie im Microsoft Purview-Portal und im Complianceportal nach den Überwachungsprotokollen suchen können. Der Benutzer muss ein globaler Administrator sein oder über Leseberechtigungen für die Überwachung verfügen, um auf Überwachungsprotokolle zuzugreifen. Sie können den Filter Aktivitäten verwenden, um nach bestimmten Aktivitäten zu suchen und alle Viva Goals Aktivitäten aufzulisten, die Sie im Filter Datensatztyp "VivaGoals" auswählen können. Sie können auch die Datumsbereichsfelder und die Liste Benutzer verwenden, um die Suchergebnisse weiter einzugrenzen.
Wichtig
Microsoft empfiehlt die Verwendung von Rollen mit den wenigsten Berechtigungen. Die Minimierung der Anzahl von Benutzern mit der Rolle "Globaler Administrator" trägt zur Verbesserung der Sicherheit für Ihre organization bei. Erfahren Sie mehr über Microsoft Purview-Rollen und -Berechtigungen.
Anzeigename
Vorgang
Beschreibung
Organisation erstellt
Organisation erstellt
Admin oder der Benutzer hat eine neue organization auf Viva Goals erstellt.
Benutzer hinzugefügt
Benutzer hinzugefügt
Ein neuer Benutzer wurde einem organization auf Viva Goals hinzugefügt.
Benutzer deaktiviert
Benutzer deaktiviert
Ein Benutzer wurde in einem organization deaktiviert.
Benutzer gelöscht
Benutzer gelöscht
Ein Benutzer wurde aus einem organization am Viva Goals gelöscht.
Angemeldeter Benutzer
Angemeldeter Benutzer
Der Benutzer hat sich bei Viva Goals angemeldet.
Team hinzugefügt
Team hinzugefügt
Innerhalb eines organization am Viva Goals wurde ein neues Team erstellt.
Team aktualisiert
Team aktualisiert
Ein Team innerhalb eines organization auf Viva Goals wurde geändert oder aktualisiert.
Team gelöscht
Team gelöscht
Ein Team innerhalb eines organization auf Viva Goals wurde vom Benutzer gelöscht.
Exportierte Daten
Exportierte Daten
Ein Benutzer hat eine Liste von OKRs oder eine Liste von Benutzern in einem organization auf Viva Goals exportiert.
Goals Richtlinie aktualisiert
Goals Richtlinie aktualisiert
Der globale Administrator hat die Richtlinie oder Einstellungen auf Mandantenebene auf Viva Goals geändert. Der globale Administrator hat beispielsweise konfiguriert, wer Organisationen auf Viva Goals erstellen kann.
Organisationseinstellungen aktualisiert
Organisationseinstellungen aktualisiert
Der Benutzer (in der Regel Organisationsbesitzer oder Administratoren) hat organization spezifischen Einstellungen auf Viva Goals aktualisiert.
Organisationsintegrationen aktualisiert
Organisationsintegrationen aktualisiert
Der Benutzer (in der Regel Organisationsbesitzer oder Administratoren) hat eine Integration eines Drittanbieters konfiguriert oder eine vorhandene Drittanbieterintegration für eine organization auf Viva Goals aktualisiert.
OKR oder Projekt erstellt
OKR oder Projekt erstellt
Der Benutzer hat ein OKR oder Project auf Viva Goals erstellt.
OKR oder Projekt aktualisiert
OKR oder Projekt aktualisiert
Ein OKR/Projekt wurde geändert oder ein Check-In vom Benutzer oder eine Integration auf Viva Goals vorgenommen.
OKR oder Projekt gelöscht
OKR oder Projekt gelöscht
Der Benutzer hat ein OKR- oder Project-Element gelöscht.
Dashboard erstellt
Dashboard erstellt
Der Benutzer hat auf Viva Goals eine neue Dashboard erstellt.
Dashboard aktualisiert
Dashboard aktualisiert
Der Benutzer hat eine Dashboard auf Viva Goals aktualisiert.
Dashboard gelöscht
Dashboard gelöscht
Der Benutzer hat eine Dashboard auf Viva Goals gelöscht.
Viva Engage Aktivitäten
In der folgenden Tabelle sind die Benutzer- und Administratoraktivitäten in Viva Engage aufgeführt, die im Überwachungsprotokoll protokolliert werden. Um Viva Engage bezogene Aktivitäten aus dem Überwachungsprotokoll zurückzugeben, müssen Sie in der Liste Aktivitätendie Option Ergebnisse für alle Aktivitäten anzeigen auswählen. Verwenden Sie die Datumsbereichsfelder und die Liste Benutzer, um die Suchergebnisse einzuschränken.
Hinweis
Einige Viva Engage Überwachungsaktivitäten sind nur in Audit (Premium) verfügbar. Das bedeutet, dass Benutzern die entsprechende Lizenz zugewiesen werden muss, bevor diese Aktivitäten im Überwachungsprotokoll protokolliert werden. Weitere Informationen finden Sie unter Audit (Premium).For more information, see Audit (Premium). Informationen zu Lizenzanforderungen für die Überwachung (Premium) finden Sie unter Überwachungslösungen in Microsoft 365.
In der folgenden Tabelle sind Überwachungsaktivitäten (Premium) mit einem Sternchen (*) hervorgehoben.
Anzeigename
Vorgang
Beschreibung
Unternehmenskommunikator hinzugefügt
AddUserRole
Ein Benutzer wird als Unternehmenskommunikator zugewiesen.
Geänderte benutzerdefinierte Nutzungsrichtlinie
UsagePolicyUpdated
Ein Mandantenadministrator aktualisiert eine benutzerdefinierte Nutzungsrichtlinie.
Datenaufbewahrungsrichtlinie geändert
SoftDeleteSettingsUpdated
Ein bestätigter Administrator ändert die Einstellung der Aufbewahrungsrichtlinie für Netzwerkdaten in "Endgültig Löschen" oder "Vorläufig Löschen". Dieser Vorgang kann nur von bestätigten Administratoren ausgeführt werden.
Netzwerkkonfiguration geändert
NetworkConfigurationUpdated
Netzwerk oder verifizierter Administrator ändert die Konfiguration des Viva Engage Netzwerks. Dies schließt das Festlegen des Intervalls zum Exportieren von Daten und das Aktivieren von Chats ein.
Netzwerkprofileinstellungen geändert
ProcessProfileFields
Ein Netzwerk- oder bestätigter Administrator ändert die Informationen, die für die Netzwerkbenutzer in den Mitgliedsprofilen angezeigt werden.
Modus für private Inhalte geändert
SupervisorAdminToggled
Der überprüfte Administrator aktiviert oder deaktiviert den Modus für private Inhalte . In diesem Modus kann ein Administrator die Beiträge in privaten Gruppen und die zwischen einzelnen Benutzern (oder Benutzergruppen) ausgetauschten privaten Nachrichten anzeigen. Dieser Vorgang kann nur von bestätigten Administratoren ausgeführt werden.
Sicherheitskonfiguration geändert
NetworkSecurityConfigurationUpdated
Der überprüfte Administrator aktualisiert die Sicherheitskonfiguration des Viva Engage Netzwerks. Dies schließt das Festlegen von Kennwortablaufrichtlinien und Einschränkungen für IP-Adressen ein. Dieser Vorgang kann nur von bestätigten Administratoren ausgeführt werden.
Unterhaltung geschlossen
CloseConversation
Der Viva Engage Thread wurde geschlossen, hindert Benutzer daran, darauf zu antworten. Diese Aktion kann von einem Administrator, einem Unternehmenskommunikator oder einem Benutzerdelegat ausgeführt werden.
Unterhaltung geöffnet
OpenConversation
Die Viva Engage Threadkonversation wurde geöffnet, mit der Benutzer auf den Thread antworten können. Diese Aktion kann von einem Administrator, einer Unternehmenskommunikation oder einem Benutzerdelegat ausgeführt werden.
Datei erstellt
FileCreated
Ein Benutzer lädt eine Datei hoch.
Gruppe erstellt
GroupCreation
Der Benutzer erstellt eine Gruppe.
Nachricht erstellt
MessageCreation
Der Benutzer erstellt eine Nachricht.
Gruppe gelöscht
GroupDeletion
Eine Gruppe wird aus Viva Engage gelöscht.
Nachricht gelöscht
MessageDeleted
Ein Benutzer löscht eine Nachricht.
Datei heruntergeladen
FileDownloaded
Ein Benutzer lädt eine Datei herunter.
Daten exportiert
DataExport
Überprüfter Administrator exportiert Viva Engage Netzwerkdaten. Dieser Vorgang kann nur von bestätigten Administratoren ausgeführt werden.
Fehler beim Zugriff auf Datei
FileAccessFailure
Der Benutzer konnte nicht auf eine Datei zugreifen.
Fehler beim Zugriff auf die Gruppe
GroupAccessFailure
Der Benutzer konnte nicht auf eine Gruppe zugreifen.
Fehler beim Zugreifen auf den Thread
ThreadAccessFailure
Der Benutzer konnte nicht auf einen Nachrichtenthread zugreifen.
Auf Nachricht reagiert
MarkedMessageChanged
Der Benutzer hat auf eine Nachricht reagiert.
Unternehmenskommunikator entfernt
RemoveUserRole
Ein Benutzer wird aus der Rolle "Unternehmenskommunikator" entfernt.
Kuratiertes Thema entfernen*
RemoveCuratedTopic
Der Benutzer entfernt ein kuratiertes Thema.
Datei freigegeben
FileShared
Ein Benutzer gibt eine Datei für einen anderen Benutzer frei.
Netzwerkbenutzer gesperrt
NetworkUserSuspended
Ein Netzwerkadministrator oder ein überprüfter Administrator hält einen Benutzer von Viva Engage an (deaktiviert).
Benutzer gesperrt
UserSuspension
Ein Benutzerkonto wird gesperrt (deaktiviert).
Zustimmung zur Mandantennutzungsrichtlinie
UsagePolicyAcceptance
Ein Benutzer akzeptiert eine mandantenspezifische Nutzungsrichtlinie.
Thread stummgeschaltet
AdminThreadMuted
Ein Thread wurde vom Administrator oder watch Warnung (Systembenutzer) stummgeschaltet. Eine watch Warnung tritt auf, wenn ein Thread für ein bestimmtes Design gekennzeichnet (vom Administrator festgelegt) und vom System automatisch stummgeschaltet wird.
Thread Unmuted
AdminThreadUnmuted
Admin einen Thread ohne Stummschaltung.
Dateibeschreibung aktualisiert
FileUpdateDescription
Ein Benutzer ändert die Beschreibung einer Datei.
Dateiname aktualisiert
FileUpdateName
Ein Benutzer ändert den Namen einer Datei.
Nachricht aktualisiert
MessageUpdated
Der Benutzer aktualisiert eine Nachricht.
Aktualisierte Rollenzuweisung für Network Admin
NetworkAdminUpdated
Ein Benutzer wird entweder höhergestuft oder zur Rolle Netzwerk Admin herabgestuft.
Aktualisierte Rollenzuweisung für verifizierte Admin
NetworkVerifiedAdminUpdated
Ein Benutzer wird entweder höhergestuft oder zur Rolle "Verifizierter Admin" herabgestuft.
Datei angezeigt
FileVisited
Ein Benutzer zeigt eine Datei an.
Angezeigter Thread
ThreadViewed
Der Benutzer zeigt einen Nachrichtenthread an.
Viva Pulse-Aktivitäten
In der folgenden Tabelle sind die Benutzer- und Administratoraktivitäten in Viva Pulse aufgeführt, die für die Überwachung protokolliert werden. Die Tabelle enthält den Anzeigenamen, der in der Spalte Aktivitäten angezeigt wird, und den Namen des entsprechenden Vorgangs, der in den detaillierten Informationen eines Überwachungsdatensatzes und in der CSV-Datei angezeigt wird, wenn Sie die Suchergebnisse exportieren.
Durchsuchen Sie die Überwachungsprotokolldetails , wie Sie im Microsoft Purview-Portal und im Complianceportal nach den Überwachungsprotokollen suchen können. Der Benutzer muss ein globaler Administrator sein oder über Leseberechtigungen für die Überwachung verfügen, um auf Überwachungsprotokolle zuzugreifen. Sie können den Filter Aktivitäten verwenden, um nach bestimmten Aktivitäten zu suchen und alle Viva Pulse-Aktivitäten aufzulisten, die Sie im FilterDatensatztyp auswählen können. Sie können auch die Datumsbereichsfelder und die Liste Benutzer verwenden, um die Suchergebnisse weiter einzugrenzen.
Wichtig
Microsoft empfiehlt die Verwendung von Rollen mit den wenigsten Berechtigungen. Die Minimierung der Anzahl von Benutzern mit der Rolle "Globaler Administrator" trägt zur Verbesserung der Sicherheit für Ihre organization bei. Erfahren Sie mehr über Microsoft Purview-Rollen und -Berechtigungen.
Anzeigename
Vorgang
Beschreibung
Vom Benutzer übermittelte Antwort auf eine Pulsumfrage
PulseSubmit
Admin oder Benutzer haben Feedback zu einer Viva Pulse-Feedbackanfrage bereitgestellt.
Der Benutzer hat eine Pulse-Umfrage erstellt.
PulseCreate
Es wird eine neue Viva Pulse-Feedbackanforderung erstellt.
Benutzer hat seine Frist für die Pulsumfrage verlängert
PulseExtendDeadline
Die Frist für die bestehende Viva Pulse-Feedbackanfrage wurde verlängert.
Benutzer hat zusätzliche Benutzer zur Pulse-Umfrage eingeladen
PulseInvite
Weitere Benutzer wurden zu einer vorhandenen Viva Pulse-Feedbackanfrage eingeladen.
Der Benutzer hat eine Pulse-Umfrage abgebrochen.
PulseCancel
Der Benutzer hat eine Pulse-Umfrage abgebrochen.
Ein Benutzer hat einen Pulsbericht geteilt
PulseShareResults
Viva Pulse-Feedbackergebnis wurde für Benutzer freigegeben.
Der Benutzer hat einen Pulse-Entwurf erstellt.
PulseCreateDraft
Der Benutzer hat einen Pulse-Entwurf erstellt.
Der Benutzer hat einen Pulse-Entwurf gelöscht.
PulseDeleteDraft
Der Benutzer hat einen Pulse-Entwurf gelöscht.
Admin die Daten eines Benutzers gelöscht
PulseDeleteUserData
Admin die Daten eines Benutzers gelöscht.
Admin aktualisierten Mandanteneinstellungen
PulseTenantSettingsUpdate
Admin eine organization-Einstellung für Viva Pulse aktualisiert.
Windows 365 Kunden-Lockbox-Aktivitäten
In der folgenden Tabelle sind die Benutzer- und Administratoraktivitäten in Windows 365 Kunden-Lockbox aufgeführt, die im Überwachungsprotokoll protokolliert werden. Wählen Sie windows365CustomerLockbox unter Datensatztypen aus, um Windows 365 Kunden-Lockbox-bezogene Aktivitäten aus dem Überwachungsprotokoll zurückzugeben. Verwenden Sie die Datumsbereichsfelder und die Liste Benutzer, um die Suchergebnisse einzuschränken.
Anzeigename
Vorgang
Beschreibung
Auslösen der Gerätewartung
Auslösen der Gerätewartung
Lösen Sie die Gerätewartung aus.
Hochladen des Ordners in ein Blob
Hochladen des Ordners in ein Blob
Komprimieren Sie den Ordner des Kundengeräts, und laden Sie diesen in ein Blob hoch.
Überprüfen der PowerShell-Ausführungsrichtlinie
Überprüfen der PowerShell-Ausführungsrichtlinie
Überprüfen Sie die PowerShell-Ausführungsrichtlinie.
Installieren des RD-Agents
Installieren des RD-Agents
Installieren Sie den RD-Agent auf dem Gerät des Benutzers.
Ausführen einer hybriden AADJ-Erweiterung
Ausführen einer hybriden AADJ-Erweiterung
Führen Sie die hybride AADJ-Erweiterung auf dem Gerät des Benutzers aus.
Erstellen einer VmExtension-Anforderung
Erstellen einer VmExtention-Anforderung
Erstellt VM-Erweiterungsanforderungen zum Ausführen der VM-Erweiterung, um benutzerdefinierte Skripts auf dem Kundengerät auszuführen.
Triggerorchestrator
Triggerorchestrator
Triggerorchestrator für den Benutzer.
Auslösen einer generischen Aktion durch SaaF
Auslösen einer generischen Aktion durch SaaF
Auslösen einer Geräteaktion (Retargeting, EnableRdpAccessForCitrix, DisableRdpAccessFprCitrix) für den Benutzer.
Generische Aktion auslösen
Generische Aktion auslösen
Lösen Sie die Geräteaktion für den Benutzer aus.
Auslösen einer generischen Aktion mit Optionen
Auslösen einer generischen Aktion mit Optionen
Auslösen einer Geräteaktion mit Optionsparametern, die leistungsfähiger sind als die generische Triggeraktion.
Erstellen neuer Arbeitselemente (Scheduler)
Erstellen neuer Arbeitselemente (Scheduler)
Erstellen Sie neue Arbeitselemente, z. B. Bereitstellen, Aufheben der Bereitstellung, Erneute Bereitstellung usw.
Remoteaktionsvorgang nach der Remoteaktion
Remoteaktionsvorgang nach der Remoteaktion
Nach der Remoteaktion plus Abrufen des Ergebnisses per GetActions-Vorgang.
OCE-Ausführungsbefehle auf einem virtuellen Computer
OCE-Ausführungsbefehle auf einem virtuellen Computer
Führen Sie Befehle nach tenantID, deviceID list und script aus.
LogCollection-Anforderung erstellen
LogCollection-Anforderung erstellen
Erstellen Sie eine Protokollsammlungsanforderung für Cloud-PC.
Auslösen der Canary-Überprüfung des CMD-Agents.
Auslösen der Canary-Überprüfung des CMD-Agents.
Auslösen der Canary-Überprüfung des CMD-Agents auf einem bestimmten Gerät.
Ausführen von AppHealthPlugin
Ausführen von AppHealthPlugin
Führen Sie AppHealthPlugin aus.
Backfill CMD-Agent
AddDevicesToBackfill-Vorgang
Backfill CMD-Agent auf Cloud-PC.
Erneutes Installieren des CMD-Agents
AddDevicesToReinstall-Vorgang
Installieren Sie den CMD-Agent bei Bedarf neu.
Masseninstallation des CMD-Agents
TriggerClientAgentCheckBulkAction-Vorgang
Masseninstallation des CMD-Agents bei Bedarf.
Erstellen eines Remoteaktionsvorgangs in ActionModeratorService
Erstellen eines Remoteaktionsvorgangs in ActionModeratorService
Erstellen Sie eine Remoteaktion nach tenantID, workspaceID, actionType, actionParameters.